Показано с 1 по 11 из 11.

троян с расширением .sys в C:\windows\system32\drivers (заявка № 40360)

  1. #1
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42

    Thumbs up троян с расширением .sys в C:\windows\system32\drivers

    Предыдущая моя тема еще не закончена: http://virusinfo.info/showthread.php?t=39887

    Но я решил создать новую, т.к. возникла новая проблема.

    Один из сайтов, с которым я работаю, взломали и в индексную страницу вставили <iframe c какой-то заразой. Перестали открываться страницы в браузере, потом стал виснуть комп, вывелось сообщение с обратным отсчетом и комп перезагрузился. Хочу заметить, что из-за того что по предыдущей проблеме не было окончательного ответа, восстановление системы оставалось отключенным.

    Запустил в безопасном режими CureIT - отловил трояна с расширением .sys в C:\windows\system32\drivers и удалил его, но при повторных перезагрузках CureIT снова отлавливает там же трояна с меняющимся названием файла.

    Присоединяю логи

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\azdlib.dll','');
     QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
     QuarantineFile('C:\Documents and Settings\Alex\Alex.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ppthechlllijwmz.sys','');
     DeleteService('oigofocv');
     QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\ppthechlllijwmz.sys');
     DeleteFile('C:\Documents and Settings\Alex\Alex.exe');
     DeleteFile('C:\WINDOWS\system32\digeste.dll');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\azdlib.dll');
     DeleteFile('C:\WINDOWS\pagepromoterbar.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать новые логи.
    Загрузить карантин по http://virusinfo.info/upload_virus.php?tid=40360
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Скрипт выполнил, обновил логи:

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    А карантин где?

    Добавлено через 2 минуты

    Профиксить:
    Код:
    O2 - BHO: azdlibP - {4B5DF7B5-5FAB-4547-8420-35CFF12A2263} - C:\Documents and Settings\All Users\Application Data\azdlib.dll (file missing)
    O3 - Toolbar: &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - C:\WINDOWS\pagepromoterbar.dll (file missing)
    Лог Хиджака повтори. Проблемы на компьютере есть?
    Последний раз редактировалось PavelA; 25.02.2009 в 10:53. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Прошу прощения, про карантин в прошлый раз забыл.

    Пофиксил только вторую строку, т.к. первой не нашел.
    Я до получения ответа еще раз решил сделать полную провеку при помощи CureIT и удалил как adware файл под названием azdlib.dll.dll - возможно поэтому и не нашел. Кроме этого, нашел и удалил Trojan.PWS.ICQSniff.25 и поудалял некоторые файлы из карантина, так что присланный карантин может быть не полным.

    На всякий случай еще раз собрал все логи.
    Видимых проблем пока нет.

    Восстановление системы уже можно включить?

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Достались в карантине разные трояны, плюс парочка интересных файлов.
    Ответ по ним будет позже.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Интересно, все же, что там за интересные файлы?

    Восстановление системы можно включить?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Ответ вот такой из ЛК:
    Здравствуйте,

    В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
    Его детектирование будет включено в очередное обновление антивирусных баз.
    Благодарим за оказанную помощь.
    На всякий случай почисть карантин Др.Веба. Думаю, что "восст. системы" можно включать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Спасибо, Павел!

    А что сей новый зловред делал? Каково его назначение?

    P.S. папка карантина в DoctorWeb не открывается, поэтому я удалил ее целиком. Правильно сделал?

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Мы не знаем на какой файл они добавили детект

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\alex\alex.exe - Trojan-Dropper.Win32.Small.cuk (DrWEB: Trojan.DownLoad.28430)
      2. c:\documents and settings\all users\application data\azdlib.dll - Trojan-Ransom.Win32.Hexzone.agl
      3. c:\windows\system32\digeste.dll - Trojan-Dropper.Win32.Small.cum (DrWEB: Trojan.Inject.5512)


  • Уважаемый(ая) Алек, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. C:\WINDOWS\system32\drivers\RegCs.exe
      От ACS в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 14.06.2009, 12:50
    2. Не могу удалить Троян в windows\system32\drivers
      От Denis K в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.05.2009, 10:25
    3. Троян sfc.sys в system32\drivers
      От ssn в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 15.04.2009, 09:19
    4. троян system32\drivers
      От alex-fer в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 30.03.2009, 14:26
    5. C:\WINDOWS\System32\drivers\tcpsr.sys Win32/Wigon.BY троян
      От ASD в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.06.2008, 22:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00827 seconds with 16 queries