-
Junior Member
- Вес репутации
- 54
Trojan Meredrop vs Avast
При серфинге по сети "выскочило" сообщение с ошибкой вида "Память не может быть read", после перезагрузки схожие сообщения стали появляться при каждом запуске Windows XP SP3, после чего происходила автоматическая перезагрузка спустя 1 минуту (запускался счётчик).
Путём долгих и муторных ковыряний было выяснено, что в ветку HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon прописалась зараза, а именно к строке C:\WINDOWS\system32\userinit.exe появилась странная добавка с непонятными ехе'шниками (которые, собственно, и есть Trojan Meredrop в версии Microsoft Security Essentials). При запуске Avast её глушил, но заодно не давал грузиться и самой системе.
Удаление файлов и записи в реестре даёт временный эффект, система работает стабильно, затем проявляются новые экзешники с теми же целями и последствиями. Прогон AVPTool к излечению предсказуемо не привёл.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
пофиксите
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
выполните скрипт
Код:
begin
SetAVZGuardStatus(True);
DelBHO('{AAECAA2C-1DF1-46FD-8A62-D4AA4C12134F}');
QuarantineFile('C:\WINDOWS\system32\ssqQkiHw.dll','');
DeleteFile('C:\WINDOWS\system32\ssqQkiHw.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 54
Скрипт выполнил, но файл в папке судя по всему просто отсутствует. В карантин он, соответственно, тоже не попал. То, что было отловлено сейчас добавлю по правилам.
UPD:
Файл сохранён как 100601_002255_virus_4c041a9f6fff4.zip
Размер файла 665743
MD5 b5125baeae4debadb7a920a67b9b555e
-
Junior Member
- Вес репутации
- 54
Прилагаю архивы после повторного сканирования.
PS По поводу sptd.sys - установлен Daemon Tools.
-
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 54
AndreyKa
Я отвечу цитатой:
Поиск критических уязвимостей
Установите Adobe Acrobat Reader 9.3 или удалите старый.
http://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.3/ru_RU/AdbeRdr930_ru_RU.exe
Обнаружено уязвимостей: 1
Больше в логе ничего нет - приятно даже как-то.
-
Достаточно и одной дыры, чтобы регулярно получать троянов.
После устранения уязвимости проблема возникала?
-
-
Junior Member
- Вес репутации
- 54
После устранения уязвимости проблема возникала?
В выходные смогу сказать более определённо, но на данный момент каких-либо неполадок не замечено, в реестре полный порядок - никаких "приписок" в Userinit.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-