При сканировании анхукером файлов на диске с установленным антивирусом (symantec или avg) в начале сканирования вылезает три трояна и прописываются в реестре с именами 78B45A19.exe и sys и т.п.
вирус выслан по правилам
При сканировании анхукером файлов на диске с установленным антивирусом (symantec или avg) в начале сканирования вылезает три трояна и прописываются в реестре с именами 78B45A19.exe и sys и т.п.
вирус выслан по правилам
Последний раз редактировалось Toms; 27.08.2008 в 15:02.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('G:\WINDOWS\system32\mobsync.exe',''); QuarantineFile('G:\WINDOWS\system32\E6722B12.exe',''); DeleteFile('G:\WINDOWS\system32\E6722B12.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('E6722B12'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=29042 ).
Очистите временные папки и кеш браузера.
Сделайте новые логи (3 лога, а не 2 ).
RAdmin Вы ставили?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
r_admin установлен
Последний раз редактировалось kps; 27.08.2008 в 16:42. Причина: Удалил карантин
После выполнения скрипта ситуация не изменилась.
G:\WINDOWS\system32\mobsync.exe
Это Вы прописывали в автозапуск? Файла, видимо, нет на диске.
Каким анхукером?? Подробнее пожалуйста.
Пункт 2 правил выполнялся (полная проверка CureIt!) ?
Добавлено через 3 минуты
Выполните скрипт в AVZ:
После перезагрузки сделайте новые логи. Плюс сделайте лог Gmer, я вижу, он у Вас есть.Код:begin BC_DeleteSvc('78B45A19'); BC_Activate; RebootWindows(true); end.
Последний раз редактировалось kps; 27.08.2008 в 16:58. Причина: Добавлено
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
1) G:\WINDOWS\system32\mobsync.exe - файла нет на диске. В автозагрузке он стоит как "disabled", на данный момент мы эту старую запись убрали. 2) RKU обе версии: 3.7.300.509 3.8.341.552 3) Cureit в безопасном режиме с полной проверкой ничего не находит, а также при загрузке компа с livecd (от Касперского). 4) При удалении 3-х троянов (2 прописываются как сервисы 78B45A19.exe (произвольный набор 8-ми 16-ричных символов в имени) и один как драйвер С9B45A23.sys ( то же произвольный набор) они спокойненько удаляются но ситуация не меняется. 5) Высылаем лог gmer
Я правильно понимаю, что антивирусы детектят трояны, только когда Вы запускаете/сканируете RKU ?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Это фолсы на rku.
а как по вашему должен работать рку если не устанавливать драйвер ?
1) Имя драйвера RKU sybex38.sys, а имя драйвера трояна типа: С9B45A23.sys 2) Результаты анализа http://www.virustotal.com/reanalisis...025097f29b5327
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Toms, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.