Троян. Каспер не справляется.

[KellyM]

Каспер находит троян Saturn.a в системной памяти, вроде лечит, но после перезагрузки находит его снова. И так без конца. Бит-дефендер еще парочку троянов нашел, удалить не смог, пишет что перенес.

В поведении компьютера глюков особых при этом не замечено.
Вот логи.

Прошу совета.
Спасибо

[V_Bond]

выполните скрипт

Code:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\pxark.sys','');
 DeleteService('VSSDnscache');
 QuarantineFile('C:\WINDOWS\system32\acluio.exe','');
 DeleteService('TrkWksDnscache');
 QuarantineFile('C:\WINDOWS\system32\aaaamonk.exe','');
 DeleteService('ShellHWDetectionwinmgmt');
 QuarantineFile('C:\WINDOWS\system32\12520437g.exe','');
 DeleteService('lanmanserverMSIServer');
 QuarantineFile('C:\WINDOWS\system32\12520850x.exe','');
 DeleteFile('C:\WINDOWS\system32\12520850x.exe');
 DeleteFile('C:\WINDOWS\system32\12520437g.exe');
 DeleteFile('C:\WINDOWS\system32\aaaamonk.exe');
 DeleteFile('C:\WINDOWS\system32\acluio.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[KellyM]

карантин послал
вот логи

как оно?

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Code:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('taskmon.sys');
 QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
 DeleteFile('C:\WINDOWS\system32\taskmon.sys');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('taskmon.sys');    
BC_Activate;
RebootWindows(true);
end.

Повторите логи...

[KellyM]

логи повторил.
все уже хорошо?

[Гриша]

В логах чисто, но нужно подожать ответа аналитиков по поводу файла userinit.exe

[KellyM]

Спасибо.

вот только беда первоначальная сохраняется - попробовал Карпера завустить - обнаруживает Trojan-proxi.win32.Saturn.a, пытается лечить но после перезапуска он снова появляется.

Файл userinit.exe -- не родной. Недавно в процессе войны с чем-то зловредным каспер его вообще снес, система перестала загружаться и мне пришлось восстанавливать этот файлик - брать его с другого компа.

Как же выловить Saturn этот нехороший?

[Гриша]

В каком файле он его находит? (точный путь)...

[KellyM]

пишет

Объект - system memory

найден .....


во втором красном окошке пишет - файл : system.memory

находит на первом проценте быстрой проверки. если выбиру опцию - "пропустить" то пишет - вылечено, и все становится зеленым даже без перезагрузки

[V_Bond]

активируйте AVZPM повторите логи авз ...

[KellyM]

активировал AVZPM

логи вот. (ужасно долго их делает)

[V_Bond]

C:\WINDOWS\system32\svchost.exe - пришлите согласно приложения 2 правил

[KellyM]

в карантине оказалось 4 файла, отправил

Добавлено через 2 часа 19 минут

нет ли новостей для меня? извините за нетерпение

[Rene-gad]

нет ли новостей для меня? извините за нетерпение

Вредоносный код в файлах не обнаружен.

[KellyM]

значит все в порядке? хорошо. спасибо. главное что зловредов нет.
а с глюком этим тогда наверное стоит написать в лабораторию касперского?

вот скрин - по-прежнему каждый раз при запуске проверки каспер выкидывает предупреждение, и если выбираю "лечить" - перезагружает комп. Несколько утомительно.

[Rene-gad]

Ничего не понимаю: У Вас же Битдефендер стоит, на скрине - интерфейс КИС. Вы Битдефендер удалили? Логи повторите.

[KellyM]

Да, Битдефендер вчера пользовал (бесплатную версию), когда проблема началась, еще до обращения к вам. (Из автозагрузки его убрал, но совсем его не удалял).
А еще пользовал CureIt - тоже не спасло.

а KIS у меня последний, месяц назад купил у производителя на сайте.

вот логи свежие.

[Kuzz]

1. Давайте посмотрим еще и эти файлы:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Code:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\Drivers\Video3D.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\irstusb.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Senfilt.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\rksample.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\16554898.sys','');
 QuarantineFile('\SystemRoot\system32\DRIVERS\16554898.sys','');
 QuarantineFile('C:\WINDOWS\system32\CEUTIL.dll','');
 QuarantineFile('c:\windows\system32\winlogon.exe','');
 QuarantineFile('c:\windows\system32\services.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=32295

2. Вы проводили полное сканирование всего компьютера своим антивирусом (KAV)
Возможно он обнаружит то, на что ругается на диске.

[KellyM]

скрипт выполнил
карантин выслал
каспер по-прежнему глючит. запускаю полную проверку - это наверное надолго.

Добавлено через 2 часа 49 минут

полная проверка KAV - нашел несколько троянов - в отчете:

Обнаружено: Trojan.Win32.Small.xyp C:\WINDOWS\Temp\hd88.tmp
Обнаружено: Trojan-Spy.Win32.Agent.emp C:\WINDOWS\Temp\hd16C.tmp
19.10.2008 21:08:52 Обнаружено: Trojan-Proxy.Win32.Saturn.a System Memory
19.10.2008 21:55:23 Обнаружено: Trojan-Mailfinder.Win32.Agent.tu C:\WINDOWS\Temp\hd6EE.tmp
19.10.2008 21:55:21 Обнаружено: Backdoor.Win32.Rbot.vdr C:\WINDOWS\Temp\hd1A3.tmp

После лечения повторная полная проверка - все чисто.
После перезагрузки в быстрой проверке опять вылез Trojan-Proxy.Win32.Saturn.a в System Memory

бесперспективно?

[V_Bond]

выполните http://virusinfo.info/showthread.php?t=10025