Показано с 1 по 9 из 9.

Trojan Meredrop vs Avast (заявка № 79851)

  1. #1
    Junior Member Репутация
    Регистрация
    22.09.2009
    Сообщений
    21
    Вес репутации
    31

    Thumbs up Trojan Meredrop vs Avast

    При серфинге по сети "выскочило" сообщение с ошибкой вида "Память не может быть read", после перезагрузки схожие сообщения стали появляться при каждом запуске Windows XP SP3, после чего происходила автоматическая перезагрузка спустя 1 минуту (запускался счётчик).
    Путём долгих и муторных ковыряний было выяснено, что в ветку HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon прописалась зараза, а именно к строке C:\WINDOWS\system32\userinit.exe появилась странная добавка с непонятными ехе'шниками (которые, собственно, и есть Trojan Meredrop в версии Microsoft Security Essentials). При запуске Avast её глушил, но заодно не давал грузиться и самой системе.

    Удаление файлов и записи в реестре даёт временный эффект, система работает стабильно, затем проявляются новые экзешники с теми же целями и последствиями. Прогон AVPTool к излечению предсказуемо не привёл.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
     DelBHO('{AAECAA2C-1DF1-46FD-8A62-D4AA4C12134F}');
     QuarantineFile('C:\WINDOWS\system32\ssqQkiHw.dll','');
     DeleteFile('C:\WINDOWS\system32\ssqQkiHw.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    22.09.2009
    Сообщений
    21
    Вес репутации
    31
    ssqQkiHw.dll
    Скрипт выполнил, но файл в папке судя по всему просто отсутствует. В карантин он, соответственно, тоже не попал. То, что было отловлено сейчас добавлю по правилам.

    UPD:
    Файл сохранён как 100601_002255_virus_4c041a9f6fff4.zip
    Размер файла 665743
    MD5 b5125baeae4debadb7a920a67b9b555e

  5. #4
    Junior Member Репутация
    Регистрация
    22.09.2009
    Сообщений
    21
    Вес репутации
    31
    Прилагаю архивы после повторного сканирования.

    PS По поводу sptd.sys - установлен Daemon Tools.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  7. #6
    Junior Member Репутация
    Регистрация
    22.09.2009
    Сообщений
    21
    Вес репутации
    31
    AndreyKa
    Я отвечу цитатой:
    Поиск критических уязвимостей
    Установите Adobe Acrobat Reader 9.3 или удалите старый.
    http://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.3/ru_RU/AdbeRdr930_ru_RU.exe
    Обнаружено уязвимостей: 1
    Больше в логе ничего нет - приятно даже как-то.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Достаточно и одной дыры, чтобы регулярно получать троянов.
    После устранения уязвимости проблема возникала?

  9. #8
    Junior Member Репутация
    Регистрация
    22.09.2009
    Сообщений
    21
    Вес репутации
    31
    После устранения уязвимости проблема возникала?
    В выходные смогу сказать более определённо, но на данный момент каких-либо неполадок не замечено, в реестре полный порядок - никаких "приписок" в Userinit.

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) OldBoy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 16.06.2010, 22:20
    2. Ответов: 1
      Последнее сообщение: 31.10.2009, 05:06
    3. Avast находит Win32:Trojan-gen
      От john74ru в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.10.2008, 13:08
    4. Avast. Win32: Trojan-gen {Other}
      От Hellmaniac в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.10.2008, 22:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01382 seconds with 16 queries