Trojan Meredrop vs Avast

**OldBoy** · 31.05.2010, 22:41

При серфинге по сети "выскочило" сообщение с ошибкой вида "Память не может быть read", после перезагрузки схожие сообщения стали появляться при каждом запуске Windows XP SP3, после чего происходила автоматическая перезагрузка спустя 1 минуту (запускался счётчик).
Путём долгих и муторных ковыряний было выяснено, что в ветку HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon прописалась зараза, а именно к строке C:\WINDOWS\system32\userinit.exe появилась странная добавка с непонятными ехе'шниками (которые, собственно, и есть Trojan Meredrop в версии Microsoft Security Essentials). При запуске Avast её глушил, но заодно не давал грузиться и самой системе.

Удаление файлов и записи в реестре даёт временный эффект, система работает стабильно, затем проявляются новые экзешники с теми же целями и последствиями. Прогон AVPTool к излечению предсказуемо не привёл.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 31.05.2010, 23:19

пофиксите

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

выполните скрипт

Код:

begin
SetAVZGuardStatus(True);
 DelBHO('{AAECAA2C-1DF1-46FD-8A62-D4AA4C12134F}');
 QuarantineFile('C:\WINDOWS\system32\ssqQkiHw.dll','');
 DeleteFile('C:\WINDOWS\system32\ssqQkiHw.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

**OldBoy** · 01.06.2010, 00:22

ssqQkiHw.dll

Скрипт выполнил, но файл в папке судя по всему просто отсутствует. В карантин он, соответственно, тоже не попал. То, что было отловлено сейчас добавлю по правилам.

UPD:

Файл сохранён как 100601_002255_virus_4c041a9f6fff4.zip
Размер файла 665743
MD5 b5125baeae4debadb7a920a67b9b555e

**OldBoy** · 01.06.2010, 00:39

Прилагаю архивы после повторного сканирования.

PS По поводу sptd.sys - установлен Daemon Tools.

**AndreyKa** · 02.06.2010, 13:48

Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

**OldBoy** · 02.06.2010, 20:30

AndreyKa
Я отвечу цитатой:

Поиск критических уязвимостей
Установите Adobe Acrobat Reader 9.3 или удалите старый.
http://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.3/ru_RU/AdbeRdr930_ru_RU.exe
Обнаружено уязвимостей: 1

Больше в логе ничего нет - приятно даже как-то.

**AndreyKa** · 02.06.2010, 20:37

Достаточно и одной дыры, чтобы регулярно получать троянов.
После устранения уязвимости проблема возникала?

**OldBoy** · 04.06.2010, 09:50

После устранения уязвимости проблема возникала?

В выходные смогу сказать более определённо, но на данный момент каких-либо неполадок не замечено, в реестре полный порядок - никаких "приписок" в Userinit.

**CyberHelper** · 05.06.2010, 09:50

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Trojan Meredrop vs Avast (заявка № 79851)

Опции темы

Trojan Meredrop vs Avast

Итог лечения

Похожие темы

Не могу выловить Вирус(троян-руткит?)Загнал мне -> Spy.Shiz.NAL, Meredrop

Receiving alerts from AVAST about every 5 mins or so that a trojan has been found: "Win32:Bredolab-AQ [Trj] found in C:\Windows\Temp\x.tmp" ...always new x.tmp created

Avast находит Win32:Trojan-gen

Avast. Win32: Trojan-gen {Other}

Ваши права в разделе