У меня на компьютере завелась парочка (ну может больше) троянов, от которых никак не могу избавится.
Те антивирусы что я попробовал (DrWeb, NOD32 и avira) их не видят.
Активность выражается в том что процессы explorer.exe и spoolsvc.exe держат открытыми соединения на внешний IP по портам 6666, 7000 и 7777
на всех дисках пытается создать файл \autorun.inf и \RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
прописывает c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe в автозапуске в реестре и в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}\@StubPath=....
В рамках борьбы с этими троянами было сделано:
1. Запрещено создание записей в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}
2. создан ФАЙЛ с именем c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013
3. на внешнем роутере запрещен выход по портам 6666,7000,7777
Жизнедеятельность троянов это несколько придавило, однако они по прежнему присутствуют (активность по портам)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Отключил восстановление системы.
2. Выключил сеть (через панель управления)
NOD32 - "Отключить защиту от вирусов и шпионских программ". Сам NOD32 остался запущенным.
Сделал новые логи
Чуть раньше выслал то что было запрошено из карантина.
begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(8);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Сделайте повторные логи по правилам начиная по п.10 правил.
- Прикрепите логи к новому сообщению.
c:\\documents and settings\\папулька\\local settings\\temporary internet files\\content.ie5\\qxdrgaf1\\dis[2].exe - Trojan.Win32.Disabler.ar (DrWEB: BackDoor.FireOn.46)
c:\\documents and settings\\папулька\\systems.exe - Trojan.Win32.Disabler.ar (DrWEB: BackDoor.FireOn.46)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: