Trojan в kernel32.dll

Printable View

10.12.2010, 04:32
Ecclesiastes

Trojan в kernel32.dll

Здравствуйте!

Авира нашла троян в системной файле

C:\WINDOWS\system32\kernel32.dll
[DETECTION] Is the TR/Patched.GR.8 Trojan
[WARNING] 'Is the TR/Patched.GR.8 Trojan'. This detection is probably an error. Please send us this file immediately for further analysis.

Его не удаляет.
10.12.2010, 07:53
light59

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\Drivers\DrvAgent32.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR].

[URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Установите Service Pack 3[/URL] (может потребоваться активация) + последующие обновления.
10.12.2010, 20:52
Ecclesiastes

Файл сохранён как 101210_141502_Quarantine_4d020bb6bee7b.zip
Размер файла 39173
MD5 c2b0bfa4c1269a4d64b87296e7504ea3

[size="1"][color="#666686"][B][I]Добавлено через 6 часов 36 минут[/I][/B][/color][/size]

Установил SP3

как результат:

C:\WINDOWS\$NtServicePackUninstall$\kernel32.dll
[DETECTION] Is the TR/Patched.GR.8 Trojan
[WARNING] 'Is the TR/Patched.GR.8 Trojan'. This detection is probably an error. Please send us this file immediately for further analysis.

как я понял, папку C:\WINDOWS\$NtServicePackUninstall$ можно удалить, заодно и этот зараженный файл. Вот только после этого нельзя будет снести SP3, если что вдруг. Ну надеюсь, и не понадобиться!
11.12.2010, 07:35
light59

похоже авира фолсит. SP3 качали по ссылке?
11.12.2010, 19:50
Ecclesiastes

Да, качал по ссылке.
Но вроде как нечего волноваться, потому что в папке C:\WINDOWS\$NtServicePackUninstall$ размещены файлы для отката, если я надумаю удалить SP3. Т.е. этот зараженный kernel32.dll переместили в эту папку, а новый поместили на нужное место. Удалил содержимое этой папки и теперь все хорошо)))
Спасибо! Теперь винда вновь здоровая и жизнерадостная! :140:
12.12.2010, 19:50
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]