sysdrv2.exe
sysdrv5.exe - пришлите по правилам....
Printable View
sysdrv2.exe
sysdrv5.exe - пришлите по правилам....
Файл сохранён как 071107_023227_system32_4731781bb1ebb.zip
Размер файла 10717
MD5 b7c10dda402c31302dbedca78309a87e
[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]
Да, чуть не забыл - все-таки arm32.dll был в системе.
его NOD32, оставленный на ночь, пристрелил...
C:\Documents and Settings\All Users\Документы\Settings\arm32.dll - модифицированный Win32/TrojanProxy.Xorpix.BS троян
1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\sysdrv2.exe');
DeleteFile('C:\WINDOWS\system32\sysdrv5.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
sysdrv2.exe - Trojan-Downloader.Win32.Small.emg (kaspersky)
ок, запускаю скрипт (хотя C:\Documents and Settings\All Users\Документы\Settings\arm32.dll уже удален NOD-ом.)
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
вроде бы все чисто, на всякий случай - далаю тотальный прогон CureIt!
...хм... запустил IE (сейчас пишу из Opera) - опять обращаемся на 127.0.0.1:1126 (протокол UDP)
если данный коннект заблокировать - то получаем:
"Internet Explorer не удается подключиться к запрошенной веб-странице. Возможно, страница временно недоступна"
...капает(очень мелкими порциями, но постоянно) исходящий траффик...
1.Пофиксите в HijackThis:
[CODE]
O4 - Startup: MSWin--586453890.exe
[/CODE]
пока идет проверка в safeMode под админом...
минут через 40 - диск С прикончит...
[size="1"][color="#666686"][B][I]Добавлено через 54 минуты[/I][/B][/color][/size]
спасибо большое, вроде бы все нормализовалось...
на всякий случай буду "пасти" комп...
[URL="http://virusinfo.info/showthread.php?t=3519"]Вы оказать нам помощь в пополнение базы безопасных файлов[/URL].
Рекомендуется прочитать [URL="http://security-advisory.newmail.ru/EBook.htm"]это[/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]48[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntkrnlpa.exe - [B]Trojan.Win32.Patched.au[/B] (DrWEB: Trojan.Spambot.2450)[*] c:\\windows\\system32\\ntoskrnl.exe - [B]Trojan.Win32.Patched.au[/B] (DrWEB: Trojan.Spambot.2450)[*] \\sysdrv2.exe - [B]Trojan-Downloader.Win32.Small.emg[/B][*] \\winapi.exe - [B]Backdoor.Win32.Haxdoor.kz[/B] (DrWEB: BackDoor.Haxdoor.363)[*] \\3.exe - [B]Trojan-Dropper.Win32.Agent.ata[/B] (DrWEB: Trojan.Inject.223)[/LIST][/LIST]