Операционная система WinXP SP2.
Проблемма появилась сегодня утром, когда перестали работать все дос-приложения(Клиент-Банк, Парус, даже autoexec.bat) - при запуске дос-приложений, появлялась ошибка - Попытка обращения к неверному адресу. Сразу проверил систему на вирусы антивирусом Nod32. Был выявлен вирус - Win32/TrojanDropper.Juntador.Ctrojan. Антивирис показала, что было инфицировано два файла библиотеки - systu.dll и bt848rom.dll, т.к. библиотеки левые, я сразу их удалил. Последующие проверки системы на вирусы ничего не дали - система была с виду сдорова, но проблемма с дос-приложениями не была решина окончательно. После многочисленных советов моих друзей(программеров, системщиков) результата положительного тоже не удалось добиться и все твердили, что нужно переустановить Windows. Но windows переустанавливать крайне не рекомендуеться - требуеться установка программного обеспечения с помощью системщика компании разработки данного программного обеспечения, а т.е. вызывать его с обласного центра, да и настройка Клиент-Банка для нескольких банков тоже требует вызов мастера на фирму.
Поэтому и нужно постараться решить вопрос самостоятельно, но если не будет другого выхода, будем переустанавливать.
На данный момент Nod32 выдает следующее:
1. Time Module Object Name Threat Action User Information
21.11.2006 16:17:37 AMON file D:\install\avz4\Quarantine\2006-11-21\avz00001.dta a variant of Win32/Spy.Goldun.GU trojan quarantined - deleted LINA\Administrator Event occurred on a new file created by the application: D:\install\avz4\avz.exe. The file was moved to quarantine. You may close this window.
2. Time Module Object Name Threat Action User Information
21.11.2006 16:17:15 AMON file C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\avz_3864_raw.tm p probably a variant of Win32/Rootkit.Agent.AT trojan quarantined - deleted LINA\Administrator Event occurred on a new file created by the application: D:\install\avz4\avz.exe. The file was moved to quarantine. You may close this window.
3. Time Module Object Name Threat Action User Information
21.11.2006 11:05:13 AMON file C:\WINDOWS\userinit.exe Win32/TrojanDropper.Juntador.C trojan deleted LINA\Administrator Event occurred at an attempt to access the file by the application: C:\WINDOWS\Explorer.EXE.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Причин для переустановки системы пока не видно ... а вот подозрительные файлы есть. Пришлите пожалуйста в соответствии с правилами файлы:
C:\WINDOWS\System32\bt848rom.dll
C:\WINDOWS\system32\helper.dll
C:\WINDOWS\system32\k53lock.sys
C:\WINDOWS\system32\systu.dll
D:\install\avz4\Quarantine\2006-11-21\avz00001.dta (тот файл карантина, на который ругается NOD)
В ходе поиска файлов и их карантина стоит отключить монитор NOD - если он попдозревает что-то, то может блокировать доступ к файлу и не даст его поместить в карантин
Сделайте новые логи при отключённом NOD, а то непонятно, что сейчас есть, чего нет.
C:\WINDOWS\system32\helper.dll я бы куда-нибудь переместил и посмотрел, что из этого выйдет - сломается что-нибудь жизненно важное или наоборот, станет легче.
Два последних точно есть, они в памяти висят. Искать с помощью AVZ, с включённым противодействием руткитам, при отключённом NOD, чтобы опять не помешал.
bt848rom.dll и k53lock.sys в обычной загрузке Виндовс не видны.
В безопасном режиме эти файлы видны, но невозможно их удалить.
Я устал бороться с этим трояном, да и одно рабочее место в бухгалтерии уже 3 день пустует.
Буду сегодня переустанавливать виндовс.
Извините за беспокойство.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: