Подозрение на Trojan-Spy.Win32.Iespy.hc
Здравствуйте, уважаемые!
Пригласили в гости на 8-ое марта к девушке. А та просит помочь - около пару недель получается пи включении компьютера одна и та же ситуация: антивирус обнаруживает подозрительный файл, который предлагает исправить (удалить). После этого комьютер перезагружается. При включении - картина повторяется. Собрал с помощью утилит необходимую для анализа подборку.
Помогите избавиться от троянов, пожалуйста.
Последний раз редактировалось Andryxa; 27.10.2008 в 07:44.
С уважением,
Андрей.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\mswapi.dll',''); QuarantineFile('C:\WINDOWS\system32\winservn.exe',''); QuarantineFile('C:\WINDOWS\svchost.exe',''); DeleteFile('C:\WINDOWS\svchost.exe'); DeleteFile('C:\WINDOWS\system32\winservn.exe'); DeleteFile('C:\WINDOWS\system32\mswapi.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Здравствуйте, уважаемые!
После выполнения скрипта, собрал логи. А вот с карантином - прошу обратить ваше внимание, насколько я понимаю - файлов должно было попасться три штуки, а у меня получилось только два. Куда-то третий делся!?
Последний раз редактировалось Andryxa; 27.10.2008 в 07:44.
С уважением,
Андрей.
пофиксите ...
выполните скрипт ...Код:O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\system32\mswapi.dll (file missing) O20 - Winlogon Notify: reset6 - AUHook.dll (file missing)
повторите логи начиная с пункта 10 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{e3a729da-eabc-df50-1842-dfd682644311}'); DeleteFile('C:\WINDOWS\system32\mswapi.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Здравствуйте, уважаемые
Извините за задержку - не мог пересечься с компьютером. Провел обработку согласно высланных инструкций. Направляю лог-файлы.
После завершения всех действий и перезагрузки отметил особенность в "Диспетчере задач" (TaskManager) - в просмотре вида "Процессы" отсутствует в графе "имя пользователя" информация для всех процессов, кроме как для процесса "Бездействие системы". Для последнего указано - System. Не подскажите, это могут быть последствиями вирусов?
Последний раз редактировалось Andryxa; 27.10.2008 в 07:44.
С уважением,
Андрей.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('Jty48'); BC_DeleteSvc('Isv83'); QuarantineFile('C:\WINDOWS\System32\Drivers\Jty48.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Isv83.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Isv83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Jty48.sys'); DeleteFile('WLCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
пользователи не отображаются в "Диспетчере задач" т.к. у вас остановлена служба терминалов ....
Уважаемый(ая) Andryxa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
