-
Junior Member
- Вес репутации
- 52
трояны в системе
собственно, спасите-помогите
upd
AVZ определил его как Trojan.Win32.Smardf.mgb
симантек его отловил, но не убил
касперовский VRT что то прибил, но после повис вмертвую
в жалобе юзера было указано, что симантек при сканировании пишет следущее
"
Тип сканирования: Автоматическая защита Сканирование Событие: Обнаружена угроза! Обнаружена угроза безопасности: Trojan.Gen Файл: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\01K34NO7\c1_84[1].txt Расположение: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\01K34NO7 Компьютер: 34OTD_504_2 Пользователь: SYSTEM Выполнено действие: Ожидание анализа побочных эффектов : Доступ запрещен Дата обнаружения: 27 апреля 2010 г. 9:10:06 ип сканирования: Автоматическая защита Сканирование Событие: Обнаружена угроза безопасности! Обнаружена угроза безопасности: Trojan.Gen Файл: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\01K34NO7\c1_84[1].txt Расположение: Неизвестный тип памяти Компьютер: 34OTD_504_2 Пользователь: SYSTEM Выполнено действие: Удалить выполнено : Доступ запрещен Дата обнаружения: 27 апреля 2010 г. 9:11:01
"
в приниципе могу выдержку из симантековского журнала угроз еще приложить
для полноты картинки
Последний раз редактировалось danesh; 13.11.2010 в 14:24.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Логи переделать в нормальном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
в смысле "в нормальном режиме"?
впрочем ща все переделаю
-
Сообщение от
danesh
в смысле "в нормальном режиме"?
У Вас они сделаны в безопасном режиме, а нужно в обычном
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Последний раз редактировалось danesh; 13.11.2010 в 14:24.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\OTDEL_34\Local Settings\Temp\dm4.dll','');
QuarantineFile('C:\WINDOWS\system32\zychok.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WINDOWS\system32\zychok.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','zychok');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Последний раз редактировалось danesh; 29.04.2010 в 13:58.
-
Junior Member
- Вес репутации
- 52
-
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\Documents and Settings\OTDEL_34\Local Settings\Temp\dm4.dll');
end.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
готово
на самом деле совместными усилиями мы его запинали
во всяком случае, проверки зловреда не обнаружили
спасибо
Последний раз редактировалось danesh; 29.04.2010 в 13:58.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
угу
но меня интересуют 2 момента
1 как оно туда попало
2 что оно делало
есть ли идеи?
-
Как попало - Вам виднее, что за сайты Вы посещали, какие флешки вставляли и т.д.
Для ответа на второй вопрос, нужно рахбираться с кодом вируса. Но это не к нам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
это не мой комп, а юзера
юзеру уже допрос с пристрастием устроила и логи проверяю, куда он там ходил
но вопрос 2все таки остался
ладно, поищем инфу, где то же должно быть описание, что оно делало
спасибо за помощь )
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\otdel_34\local settings\temp\dm4.dll - Trojan.Win32.Smardf.mrx ( DrWEB: Trojan.MulDrop1.16322, BitDefender: Trojan.Generic.3794263, AVAST4: Win32:Rootkit-gen [Rtk] )
-