Показано с 1 по 10 из 10.

Подозрение на троян (заявка № 80080)

  1. #1
    Junior Member Репутация
    Регистрация
    03.06.2010
    Адрес
    Москва
    Сообщений
    5
    Вес репутации
    28

    Thumbs up Подозрение на троян

    Здравствуйте. Не так давно при интернет-сёрфинге в Firefox 3 ни с того ни с сего выскочило окно командной строки, при этом антивирус NOD32 3.0 версии обнаружил файл, содержащие вирус:

    15.05.2010 2:22:54 Защита в режиме реального времени файл C:\Temp\D1.tmp Win32/Oficla.GQ троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\Temp\rQDs.exe.

    После чего я перезагрузился в другую ОСь, откуда просканировал все диски CureItом. Обнаруженные вирусы он удалил и я вернулся к обычной работе. Но через 2 дня ситуация полностью повторилась:

    17.05.2010 0:47:38 Защита в режиме реального времени файл C:\Temp\97B.tmp Win32/Oficla.GQ троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\Temp\ehWK.exe.

    После этого я опять же из другой ОСи прогнал компьютер антивирусами DrWeb и Касперским. С того времени окно командной строки больше не выскакивало, но уверенности в полной чистоте системы нет. Прошу проанализировать систему на наличие троянов или вирусов.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ARMA9000
    Регистрация
    16.09.2009
    Сообщений
    1,987
    Вес репутации
    93
    Отключить восстановление системы, защитное По.
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\100YEA~1.SCR','');
     QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
     DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить.

  4. #3
    Junior Member Репутация
    Регистрация
    03.06.2010
    Адрес
    Москва
    Сообщений
    5
    Вес репутации
    28
    Восстановление системы было отключено ранее в соответствии с требованиями правил. Т.е. в свойствах "Мой компьютер" на закладке "Восстановление системы" стоит галочка "Отключить восстановление системы на всех дисках".

    NOD32 был деинсталлирован из системы на время получения логов в этом сообщении (в прошлый раз я его всего лишь перевел в режим "Отключить защиту").

    Скрипт выполнен. Карантин прикреплен. Логи прилагаются.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

  6. #5
    Junior Member Репутация
    Регистрация
    03.06.2010
    Адрес
    Москва
    Сообщений
    5
    Вес репутации
    28
    прикрепляю

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    еще что-нибудь беспокоит?

  8. #7
    Junior Member Репутация
    Регистрация
    03.06.2010
    Адрес
    Москва
    Сообщений
    5
    Вес репутации
    28
    Беспокоят вот эти строки в логах AVZ:

    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
    SDT = 8055C700
    KiST = 80504460 (284)
    Функция NtCreateKey (29) перехвачена (806237B2->BA6B50E0), перехватчик spnq.sys
    Функция NtEnumerateKey (47) перехвачена (80623FF2->BA6CDDA4), перехватчик spnq.sys
    Функция NtEnumerateValueKey (49) перехвачена (8062425C->BA6CE132), перехватчик spnq.sys
    Функция NtOpenKey (77) перехвачена (80624B84->BA6B50C0), перехватчик spnq.sys
    Функция NtQueryKey (A0) перехвачена (80624EAA->BA6CE20A), перехватчик spnq.sys
    Функция NtQueryValueKey (B1) перехвачена (806219EA->BA6CE08A), перехватчик spnq.sys
    Функция NtSetValueKey (F7) перехвачена (80621D38->BA6CE29C), перехватчик spnq.sys


    Сам файл .sys изменяет имя при каждой перезагрузке системы. Не обращать на это внимание, это нормальное явление?

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    Цитата Сообщение от Mikav Посмотреть сообщение
    это нормальное явление?
    -это нормальное.

    Добавлено через 55 секунд

    Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
    На этом можно считать лечение законченным.
    Последний раз редактировалось polword; 04.06.2010 в 11:23. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    03.06.2010
    Адрес
    Москва
    Сообщений
    5
    Вес репутации
    28
    Большое спасибо!

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Mikav, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на WM троян
      От -=DeS=- в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.05.2010, 09:43
    2. Подозрение на троян.
      От qokyon в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 03.04.2010, 23:57
    3. Подозрение на троян
      От psyinfo в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 05.12.2009, 12:20
    4. Подозрение на троян
      От Brodsky в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 04:06
    5. Подозрение на троян Подозрение на Trojan.Win32.Pakes.lis
      От Валентин_K в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.02.2009, 15:37

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00096 seconds with 17 queries