троян дропер

[fotorama]

сатрудница сообщила что ее рабочий ПК стал сильно тормозить...
вчера у нее не запускалось ни одно приложение..
проверка АВЗ выявила одного дропера и убила его...
проверьте пожалуйса вслеи чисто а то меня терзают смутные сомненья слишком много в авто загрузке...
П/с
ауторан на диске D мой

[Rene-gad]

На этом компе крокодилы еще не поселились? Странно...Хорошее, теплое, забытое местечко

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

C:\Program Files\Java\j2re1.4.2_03

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\kernel.exe','');
 QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
 DeleteFile('C:\WINDOWS\System32\ntos.exe');
 DeleteFile('C:\WINDOWS\kernel.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[fotorama]

[QUOTE=Rene-gad;275663]На этом компе крокодилы еще не поселились? Странно...Хорошее, теплое, забытое местечко

да сам знаю.... но увы пока не дают добро на обновления систем.... унас еще просто ХР встречаеться ьез всяких SP...

логи и корантин зальюю в ближайшее время

Добавлено через 2 часа 5 минут

карантин выслал логи делаются

Файл сохранён как 080828_054349_virus-fotorama_48b68165ca495.zip
Размер файла 1144
MD5 ba3d4ea0b086497b13db6a7a7c7b4b72

Добавлено через 42 секунды

[fotorama]

новые логи

[Rene-gad]

Не вижу ничего особо зловредного.
Хорошо было бы еще пункт 2 правил выполнить.
Файл c:\windows\system32\svchost.exe пришлите по правилам для анализа.
А обновить Джаву можно и без кивка шефа, ИМО

[fotorama]

без кивка шефа можно.... а вот без кивка сис админа черевата проблемами..... пока по какойто не ведомой причине на тех машинах он запрещает обновления....
svchost пришлю завтра
спасибо за оказанную помощь

Добавлено через 4 минуты

пс
да честно говоря и не особо рвусь заниматься этими обновлениями, а то опять на меня повеся.... уже раз сказал что касперыч 5 слабоват ужо.... теперь на мне весит глобальная установка НОД32 и все проблемы с вирусней.....
уна инциативой наказуема

[fotorama]

svchost.exe отправлен
Файл сохранён как 080829_002432_SVCHOST_48b78810553dc.zip

Размер файла 6692

MD5 7117ad58972c87e72d230e2c033c9b17

Добавлено через 2 минуты

вот отчет вирус тотала по этому файлу 0/36
http://www.virustotal.com/ru/analisi...9c519255c6d4f5

Добавлено через 48 секунд

вот отчет вирус тотала по этому файлу 0/36
http://www.virustotal.com/ru/analisi...9c519255c6d4f5

Добавлено через 1 час 55 минут

ау

[Rene-gad]

ау

Чего кричишь? Чистый файл - это же хорошо.