Как поймать модифицированный Win32/Genetik?

**lints** · 25.11.2011, 16:44

Краткое описание проблемы:
- прогоны нодом и CureIt ничего не дают (в безопасном режиме и при подключении винта к чистой машине).
- при прогоне AVZ - говорит, что есть перехват функций (перехватчики C:\WINDOWS\system32\ntoskrnl.exe - этого не должно быть и нод - это нормально)
- при попытке запуска uVS, нод находит модифицированный Win32/Genetik в файле создаваемом uVS и соответственно программа блокируется и не запускается. Если нод отключаю, то uVS запускается, но ничего нового не показывает.

Что еще можно посмотреть?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.11.2011, 16:45

Уважаемый(ая) lints, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**миднайт** · 25.11.2011, 17:45

В HiJackThis пофиксите:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru

Сделайте лог полного сканирования MBAM

**lints** · 25.11.2011, 18:30

Вот лог MBAM

**миднайт** · 25.11.2011, 18:34

Удалите в mbam

Код:

Зараженные файлы:
c:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\krnln.fnr (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\internet.fne (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\com.run (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\RegEx.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\og.edt (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.

Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

**lints** · 25.11.2011, 22:29

Уязвимости в AVZ убрал. Обновления поставил.
В МВАВ удалил.
Перехватчик остался. На uVS при запуске попрежнему ругается НОД.

Логи в приложении. Что можно еще посмотреть?

**миднайт** · 26.11.2011, 01:43

Чисто в логах. Что разработчики засунули в uVS и как реагирует на это НОД мне не ведомо

Скорее всего элементарный фолс нода.

Как поймать модифицированный Win32/Genetik? (заявка № 112952)

Опции темы

Как поймать модифицированный Win32/Genetik?

Похожие темы

Помогите с dwm.exe(2000) Win32/Genetik

Подхватила модифицированный Win32/VB.NXN,Win32/Genetik троян.

Подцепил Win32/Agent.DRK, Win32/Genetik

Win32/Genetik

Подхватил модифицированный Win32/PSW.WOW.NHZ троян, Win32/Genetik троян

Метки для этой темы

Ваши права в разделе