-
Junior Member
- Вес репутации
- 57
некая папка "system32/Edison" и глюки и-нет
Здравствуйте!При входе в интернет dr.web ловит несколько файлов в папке c/windows/system32/edison с подозрением на backdoor . Удаляет их-но после перезагрузки они всё равно появляются.Также и-нет тормозит-иногда тупо подвисает.Svchost и explorer жгут до 70 Mb оперативки (у меня WIN XP SP2).Просканил всё-ничего не увидел.Firewall ругался на активность некоторых процессов-перекрыл.Но проблема не иссякла.Вот логи:
Последний раз редактировалось ZAP!; 15.12.2008 в 19:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
QuarantineFile('C:\WINDOWS\system32\Tablet.exe','');
QuarantineFile('C:\WINDOWS\System32\inetsrv\smss.exe','');
end.
пришлите карантин согласно приложения 3 правил
-
-
Junior Member
- Вес репутации
- 57
У меня подключен граф. планшет - Tablet.exe -его исполняемый файл драйвера.Карантин выслал.
-
'C:\WINDOWS\System32\inetsrv\smss.exe' по ВТ зверь.
Будем удалять.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\inetsrv\smss.exe');
DeleteFile('c:\windows\system32\inetsrv\smss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи.
Файл Hosts SpyBot сделал большим. При желании можете почистить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
В журнале безопасности пишет, когда on-line:
"Достигнут предел безопасности для TCP/IP, налагаемый на количество попыток одновременных TCP-подключений."
Firewall не ругался.Логи:
Последний раз редактировалось ZAP!; 15.12.2008 в 19:13.
-
ЛК ответило, что это был новый троян. Что в логах, сейчас посмотрю.
c:\program files\trafficcompressor\ - эта программа живая?
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteService('PnpEnum');
QuarantineFile('c:\windows\system32\icsxml\smss.exe','');
DeleteFile('c:\windows\system32\icsxml\smss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин.
Сделать новые логи.
Последний раз редактировалось PavelA; 15.12.2008 в 16:53.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
trafficcompressor удалил( dll висел в памяти-его тоже снёс) - но этой прогой уже полгода как не пользуюсь.Карантин выслал.Новые логи:
Последний раз редактировалось ZAP!; 15.12.2008 в 19:13.
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\txp4.cpl','');
DeleteFile('C:\WINDOWS\system32\txp4.cpl');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи.
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось ZAP!; 10.02.2009 в 00:51.
-
-
-
Junior Member
- Вес репутации
- 57
Вроде чисто и комфортно!= ) Спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\icsxml\\smss.exe - Trojan-Downloader.Win32.Small.ahgc (DrWEB: Trojan.DownLoad.25791)
- c:\\windows\\system32\\inetsrv\\smss.exe - Trojan-Downloader.Win32.Small.ahfw (DrWEB: Trojan.DownLoad.25790)
-