Показано с 1 по 9 из 9.

Помогите, поймал свежего трояна! (заявка № 17365)

  1. #1
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    12
    Вес репутации
    60

    Exclamation Помогите, поймал свежего трояна!

    поймал троянца, который детектируется каспером как: Trojan-Downloader.Win32.Agent.hlt 25,4 КБ

    как я понимаю этот троян состоит из двух частей - одну (которая прячется в системном каталоге) каспер ловит, вторую, резидентную он не находит

    Симптомы: перестали запусаться программы типа консультанта и т.д., при их запуске в реестр прописывается гадость типа:
    Файл C:\WINDOWS\SYSTEM32\DRIVERS\GOU17.SYS
    , причем, даже в ветке safeboot. Проверялся всеми антивирусами: нод, антивир, касперский и т.д. - безрезультатно

    AVZ при исследовании системы находит вирусный файл, например, GOU17.SYS и удаляет его и запись в реестре, но вскоре появляется другой. И так до бесконечности.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Давайте логи, разберемся.
    http://virusinfo.info/showthread.php?t=1235
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    12
    Вес репутации
    60
    вот логи...
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Два антивируса да еще Ad-aware - это круто

    Ничего активно-зловредного не видно.

    Выполните скрипт в AVZ:
    Код:
    begin
     BC_DeleteSvc('catchme');
     BC_DeleteSvc('Tbh74');
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте новый лог syscheck (п.10 правил).
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    12
    Вес репутации
    60
    Цитата Сообщение от Bratez Посмотреть сообщение
    Два антивируса да еще Ad-aware - это круто

    Ничего активно-зловредного не видно.

    Выполните скрипт в AVZ:
    Код:
    begin
     BC_DeleteSvc('catchme');
     BC_DeleteSvc('Tbh74');
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте новый лог syscheck (п.10 правил).
    В том-то и дело, что ничего подозрительного не видно, а вири появляются
    Ждем до понедельника... надо перерыв в битве устроить

  7. #6
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    12
    Вес репутации
    60
    Сегодняшними 6-утрашними базами антивирусом касперского было обнаружено 53 зараженных файла :
    вирус Virus.Win32.Diehard.a c:\program files\1cv77\bin\1cv7.exe 344 КБ

    скрипт на всяк пожарный выполнил, syscheck выложу

  8. #7
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    12
    Вес репутации
    60
    вот свежий syslog
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от SGray Посмотреть сообщение
    Сегодняшними 6-утрашними базами антивирусом касперского было обнаружено 53 зараженных файла :
    вирус Virus.Win32.Diehard.a
    Файловый вирус. Надеюсь, сделали полную проверку и все зараженные вылечили? В логе опять ничего кроме следа от удаленного руткита, уже с другим именем. Выполните скрипт:
    Код:
    begin
    BC_DeleteSvc('Tag74');
    BC_Activate;
    RebootWindows(true);
    end.
    Лог syscheck сделайте снова.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    01.02.2008
    Сообщений
    12
    Вес репутации
    60
    >Файловый вирус. Надеюсь, сделали полную проверку и все зараженные вылечили?

    Конечно! Проверка длится до сих пор, думаю утра закончится

    >В логе опять ничего кроме следа от удаленного руткита, уже с другим именем.

    а вот это странно

    завтра продолжу лечение

  • Уважаемый(ая) SGray, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Поймал Трояна
      От lsd66 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 09.12.2010, 23:44
    2. ПОМОГИТЕ Поймал Трояна.....
      От Балатрук Антон в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 15.11.2010, 12:11
    3. Поймал трояна
      От Domkrat50 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.03.2010, 11:27
    4. "AV-XP 2008" -- не желаете ли свежего трояна?
      От DoSTR в разделе Спам и мошенничество в сети
      Ответов: 59
      Последнее сообщение: 16.06.2009, 00:22
    5. Поймал по почте трояна
      От Oleg_34 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.09.2008, 11:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00764 seconds with 20 queries