Подозрение на сильно замаскированный троян

**Anatoliy.N** · 02.02.2008, 14:33

Приветствую всех.
Недавно занимался переустановкой системы, и работал над настойкой безопасности. Но наткнулся на очень странную вещь.
Если очистить корзину, то в ней ничего не удаляеться, а появляеться ошибка "Не удается удалить папку Dc50. Папка не пуста."
При этом в корзине этой папки нет!
Путем долгого сканирования, наткнулся на файлы к корзине, с названиями вида dc50.exe, dc47 и т.д.
Просканил систему множеством антивирусов. Половина ничего не находит, половина пишут что отказано в доступе к файлу.
Сначала я думал что это системные файлы. Но решил зайти в Гугл и ввести название файла. и чего только не нашел - это Spyware, троян и т.д., написано на сайтах найденных гуглом.
Просканил систему AVZ, облазил все логи но не нашел ничего связаного с этим файлом. Видимо этот файл не запущен, либо замаскирвоан глубоко.
Логи прикладываю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 02.02.2008, 14:39

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\rqopq.exe','');
 QuarantineFile('C:\WINDOWS\system32\NTSpool.exe','');
 DeleteFile('C:\WINDOWS\system32\NTSpool.exe');
 DeleteFile('C:\WINDOWS\system32\rqopq.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=17445).
Сделайте новые логи.

**Anatoliy.N** · 02.02.2008, 14:55

Не выходит. При выполнении скрипта появляется ошибка:

Код:

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\rqopq.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\rqopq.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\NTSpool.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\NTSpool.exe)
 Карантин с использованием прямого чтения - ошибка

И дальше компьютер виснет и не перезагружаеться.

**drongo** · 02.02.2008, 15:03

а так?

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(12);
RebootWindows(true);
end.

**Bratez** · 02.02.2008, 15:05

Попробуйте выполнить в безопасном режиме.
Если опять зависнет, подождите несколько минут, перезагрузите вручную, потом проверьте содержимое карантина.

Подозрение на сильно замаскированный троян (заявка № 17445)

Опции темы

Подозрение на сильно замаскированный троян

Похожие темы

Замаскированный процесс, подозрение на KelnerMod Rootkit

Троян сильно грузит инет создавая SMTP соединения

Замаскированный svchost шлет спам

pictures.exe, замаскированный под папку

Непонятный замаскированный процесс

Ваши права в разделе