-
Junior Member
- Вес репутации
- 27
MEM:Trojan.Win32.Adject.gen
Доканал этот злодей. На форуме есть такой в заявке на помощь.
Поделюсь своими соображениями, но вначале немного предыстории:
Жутко тормозил интернет (по долгу грузились страницы, часто появлялось уведомление, что-то типа "сервер не отправил ответ") .
Антивирус определял в системной памяти MEM:Trojan.Win32.Adject.gen но лечение никак не помогало ни с перезагрузкой ни без таковой.
Заметил, что процессор был нагружен на четверть, виновником был процесс explorer.exe
Видимо какой-то скрипт срабатывал при запуске системы, загружая в память зловред.
Долго пытался вникнуть, какие процедуры он (explore) вызывает...ничего подозрительного не увидел.
В поисках виновника был почищен реестр от сомнительных ключей, подключающих библиотеки к msiexec.exe...но мимо.
Заметил, что после перезапуска explorer.exe активность проводника падала до обычных показателей. А серфинг уже не приносил неудобств.
Взгляд пал на каталог C:\Windows\System32\drivers\ (после предыдущих селений зловредов мониторить тут будет не лишним), под подозрение должны были попасть файлы с недавней датой появления
Нашёл файл, который вызывал подозрения датой своего появления в указанном каталоге и был без подписи издателя и прочих идентификационных данных. Таковым оказался gtkrnl.sys
По итогу gtkrnl.sys был удалён в безопасном режиме (просто так он уходить не пожелал).
Работоспособность системы после перезагрузки восстановлена.
Подозреваю, что зверь мог развернуться на машине из каталога C:\Windows\Installer\ (по опыту чую), другой вопрос - как он туда проник?! но это уже вопрос из другой области.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) plohish, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте,
Если Вам необходима помощь, предоставьте логи, в противном случае ваша заявку будет закрыта.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
Ответить с цитированием
