Троян - появляется после перезагрузки

**thyrex** · 01.05.2010, 00:50

Выполните скрипт в AVZ

Код:

begin
DeleteFile('c:\windows\system32\EXPAPth.exe');
DeleteFile('c:\windows\system32\IyrC6Li.exe');
DeleteFile('c:\windows\system32\MM6F7Yo.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог ComboFix

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Natatula** · 01.05.2010, 13:50

Сообщение от thyrex

Сделайте новый лог ComboFix

Новый лог прикладываю......

Но как мне кажется - я борюсь с ветряными мельницами. После каждой перезагрузки появляются файлы в паке System32 с "левыми" именами.
Каксперский так и не работает - запускаю проверку, которая заканчивается через пару секунд с отчетом что все ОК.

**thyrex** · 01.05.2010, 13:58

Сообщение от Natatula

После каждой перезагрузки появляются файлы в паке System32 с "левыми" именами.

Примеры таких файлов приведите

**Natatula** · 01.05.2010, 14:10

Сообщение от thyrex

Примеры таких файлов приведите

вот последние которые удалял скрипт
EXPAPth.exe;
IyrC6Li.exe;
MM6F7Yo.exe;
до этого были другие со столь же осмысленными именами.

**Rene-gad** · 01.05.2010, 16:36

Выполните скрипт

Код:

begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Drivers\sptd.sys','');
end.

Пришлите карантин по правилам.
Пролечитесь с LiveCD от возможных файловых вирусов.

**Natatula** · 01.05.2010, 19:06

Сообщение от Rene-gad

Пришлите карантин по правилам.
Пролечитесь с LiveCD от возможных файловых вирусов.

Карантин загружен:

Файл сохранён как100501_190402_virus_4bdc42e2be3cb.zip
Размер файла626890
MD51680a4e22e5758ec9bd04a28ba2c9d27

**thyrex** · 01.05.2010, 22:04

Файл чистый. С помощью LiveCD проверились?

**Natatula** · 01.05.2010, 22:30

Сообщение от thyrex

Файл чистый. С помощью LiveCD проверились?

Скачала образ. Нарезала на другой машине. Сейчас проверяется ноут (уже часа два пилит......)

....................

LiveCD в графическом режиме не заработал. Запустился с консоли с установками по умолчанию. Нашел 6 инфицированных файлов. Пять из них в папке карантина AVZ и один в System32 - это файл mscun7er-.dll
Отправляю этот файл

Файл сохранён как 100501_232121_virus_4bdc7f31154c0.zip
Размер файла 54706
MD5 06e65bf59ad96ea8ae9cb8960f3bbcec

**Natatula** · 02.05.2010, 09:23

Скачала еще один LiveCD [Vba32 Rescue]
Проверила систему с помощью него.
Файл отчета прикрепляю.

**Rene-gad** · 02.05.2010, 12:53

Проблема решена?

**thyrex** · 02.05.2010, 19:28

Выполните на всякий случай

Выполните скрипт в AVZ

Код:

begin
DeleteFile('C:\WINDOWS\system32\mscun7er-.#ll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи

**Natatula** · 02.05.2010, 20:10

Сообщение от thyrex

Выполните на всякий случай

Сделайте новые логи

скрипт выполнен.
Возможно вирусов и нет, но следы остались. Касперский так и не работает. Запускается но поиск вирусов не производит.

новые логи прикладываю

А что с логами от LiveCD [Vba32 Rescue]? Он же тоже чего-то по находил.

**thyrex** · 02.05.2010, 20:32

Логи сделайте обычным AVZ.

"Левый" сайт не грузится? Касперского пробовали переустанавливать?

В логах VBA скорее всего ложное срабатывание

**Natatula** · 02.05.2010, 20:52

Сообщение от thyrex

Логи сделайте обычным AVZ.
"Левый" сайт не грузится? Касперского пробовали переустанавливать?
В логах VBA скорее всего ложное срабатывание

логи прикладываю.

Переустановка Касперского помогла. Проверка заработала. К "левым" сайтам обращений вроде нет.

**Гриша** · 02.05.2010, 21:37

Сообщение от Natatula

и один в System32 - это файл mscun7er-.dll
Отправляю этот файл

Этот файл VBA удалил?

**Natatula** · 03.05.2010, 10:23

Сообщение от Гриша

Этот файл VBA удалил?

Нет не VBA.

LiveCD от доктора ВЭба его переименовал. Файл я отправила с карантина сюда.
Затем мне прислали скрипт для AVZ - удаление этого файла. См. вчерашний пост от thyrex

А в чем вопрос-то?

**CyberHelper** · 04.05.2010, 10:23

Статистика проведенного лечения:

Получено карантинов: 6
Обработано файлов: 15
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\bc45edd0.exe - Trojan.Win32.Agent2.cqyd ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Rootkit-gen [Rtk] )
2. c:\windows\system32\expapth.exe - Trojan-Dropper.Win32.Shiz.cm ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Malware-gen )
3. c:\windows\system32\iyrc6li.exe - Trojan-Dropper.Win32.Shiz.cn ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.Malob.1 )
4. c:\windows\system32\mm6f7yo.exe - Trojan-Dropper.Win32.Shiz.bw ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.Malob.1, AVAST4: Win32:Malware-gen )
5. c:\windows\system32\mscun7er-.dll - Trojan-Spy.Win32.KeyLogger.eoq ( DrWEB: Trojan.Keylog.129, BitDefender: Trojan.Generic.3512695, AVAST4: Win32:KeyLogger-AGW [Trj] )
6. c:\windows\system32\mscun7er-.#ll - Trojan-Spy.Win32.KeyLogger.eoq ( DrWEB: Trojan.Keylog.129, BitDefender: Trojan.Generic.3512695, AVAST4: Win32:KeyLogger-AGW [Trj] )
7. c:\windows\system32\14784fbc.exe - Trojan.Win32.Agent2.cqyd ( DrWEB: Trojan.Packed.20032, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Rootkit-gen [Rtk] )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

Троян - появляется после перезагрузки (заявка № 76914)

Опции темы

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

Вирус появляется вновь после удаления и перезагрузки

После удаления и перезагрузки вирус опять появляется

Wiogn.AX появляется после перезагрузки

Downloader msftp.dll после перезагрузки появляется

Downloader msftp.dll после перезагрузки появляется

Метки для этой темы

Ваши права в разделе