-
Junior Member
- Вес репутации
- 63
Подозреваю Загрузчик троянов
И снова здравствуйте! И снова вирусы, будь они не ладны.
Суть проблемы:
Ещё один компьютер был поражён вирусами, правда достаточно давно, нод32 постоянно перехватывал исходящее соединение(адрес к сожалению остался тока ввиде скрина отчёта), в последствии проверки Pest Patrol обнаруживались трояны. Я просматривал на сайте Pest Patrol'a особенности этих троянов и руководства по ручному удалению их... всё удалял, чистил реестр удаляя записи созданные троянами... часть из них появлялась снова, а в скрытой папке %Local Settings/Temp обнаруживались файлы типа: 21357684687.ехе - эти файлы и по сей день обнаруживаются, даже свеже установленная версия Pest Patrol'a ничего сделать не может(хотя когда я её поставил, то при полной проверке в сейф моде он нашёл трояны и заражённые длл файлы и удалил их, но файлы в папке Temp всёравно появляются).
К сведению: прогонка drweb-cureit ничего не дала, кроме подозрительного фалй srvany.exe.
Вобщем сканы прилагаю, а заодно и скрин отчёта НОД32.
Последний раз редактировалось Silver; 28.04.2007 в 17:22.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполнить в avz скрипт и прислать по правилам (@ приложение 3)
вот он, если ещё жив.
Код:
begin
QuarantineFile('C:\DOCUME~1\TARABR~1\LOCALS~1\Temp\svchast.exe','');
end.
Также пришлите те файлы которые вызывают подозрения.
-
-
Junior Member
- Вес репутации
- 63
Здравствуйте! К сожалению данного файла нету, но я присылаю подозрительныена мой взгляд. И ещё: я в ручную зашёл в папку %Local Settigs/Temp/ там я нашёл файл lsass.exe , который всегда должен быть в папке system32, его я высылаю тоже.
В шапке темы Прислать запрошенные файлы
-
Файлы нужно присылать в соответствии с приложением 2 или 3 правил
Файл сохранён как 070305_105219_2007-03-03-t8242_45ebcc33dfcfc.zip
Размер файла 118802
MD5 74d3f4eaaf5021bcfda8e519c12ca0e2
Последний раз редактировалось Shu_b; 05.03.2007 в 10:52.
-
-
-
-
Junior Member
- Вес репутации
- 63
Прошу прощения за ошибку, исправлюсь. Насколько я понял, половина из антивирусных програм говорит, что это вирус, в чём я в принципе не сомневался, т.к. в любом описании данного файла сообщается, что он должен находиться только в папке system32, если он в другом месте, то это троян... я его сразу же удалил, но копию заархивировал.
и самое обидное, что и доктор вэб и пест патрул не определяют его... жаль, что я не могу ставить несколько антивирусов на один компьютер...
Значит исходя из того, что вы не запросили остальных файлов из карантина, то они не вызывают никаких подозрений. буду дальше тестировать. Спасибо Вам!
Последний раз редактировалось Silver; 07.03.2007 в 10:10.