трояны в системе

[danesh]

собственно, спасите-помогите

upd
AVZ определил его как Trojan.Win32.Smardf.mgb
симантек его отловил, но не убил
касперовский VRT что то прибил, но после повис вмертвую

в жалобе юзера было указано, что симантек при сканировании пишет следущее
"
Тип сканирования: Автоматическая защита Сканирование Событие: Обнаружена угроза! Обнаружена угроза безопасности: Trojan.Gen Файл: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\01K34NO7\c1_84[1].txt Расположение: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\01K34NO7 Компьютер: 34OTD_504_2 Пользователь: SYSTEM Выполнено действие: Ожидание анализа побочных эффектов : Доступ запрещен Дата обнаружения: 27 апреля 2010 г. 9:10:06 ип сканирования: Автоматическая защита Сканирование Событие: Обнаружена угроза безопасности! Обнаружена угроза безопасности: Trojan.Gen Файл: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\01K34NO7\c1_84[1].txt Расположение: Неизвестный тип памяти Компьютер: 34OTD_504_2 Пользователь: SYSTEM Выполнено действие: Удалить выполнено : Доступ запрещен Дата обнаружения: 27 апреля 2010 г. 9:11:01
"
в приниципе могу выдержку из симантековского журнала угроз еще приложить
для полноты картинки

[thyrex]

Логи переделать в нормальном режиме

[danesh]

в смысле "в нормальном режиме"?
впрочем ща все переделаю

[thyrex]

в смысле "в нормальном режиме"?

У Вас они сделаны в безопасном режиме, а нужно в обычном

[danesh]

готово

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\OTDEL_34\Local Settings\Temp\dm4.dll','');
 QuarantineFile('C:\WINDOWS\system32\zychok.exe','');
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 DeleteFile('C:\WINDOWS\system32\zychok.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','zychok');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[danesh]

готово

[danesh]

и тишина

[thyrex]

Выполните скрипт в AVZ

Код:

begin
DeleteFile('C:\Documents and Settings\OTDEL_34\Local Settings\Temp\dm4.dll');
end.

Сделайте новые логи

[danesh]

готово

на самом деле совместными усилиями мы его запинали
во всяком случае, проверки зловреда не обнаружили
спасибо

[thyrex]

Чисто

[danesh]

угу

но меня интересуют 2 момента
1 как оно туда попало
2 что оно делало

есть ли идеи?

[thyrex]

Как попало - Вам виднее, что за сайты Вы посещали, какие флешки вставляли и т.д.
Для ответа на второй вопрос, нужно рахбираться с кодом вируса. Но это не к нам

[danesh]

это не мой комп, а юзера
юзеру уже допрос с пристрастием устроила и логи проверяю, куда он там ходил
но вопрос 2все таки остался
ладно, поищем инфу, где то же должно быть описание, что оно делало

спасибо за помощь )

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\otdel_34\local settings\temp\dm4.dll - Trojan.Win32.Smardf.mrx ( DrWEB: Trojan.MulDrop1.16322, BitDefender: Trojan.Generic.3794263, AVAST4: Win32:Rootkit-gen [Rtk] )