-
Avira Free нашла троян в Ноде.
Доброй ночи. Вчера как всегда раз в неделю запустил сканирование системы. Сначала программой NOD32 4.2. А потом Avira Free 10.
И что..? Авира обнаружила троян, и не где нибудь, а в самом центре НОДа. Ругнулась на egui.exe.
Обозначив это так.
\Program Files\ESET\ESET NOD32 Antivirus\
egui.exe
[DETECTION] Is the TR/Agent.136734 Trojan
Помимо Нода она обнаружила этот же троян тут:
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVSCAN-20101108-143219-0BB80DCC\
002_004_ntuser.dat
002_005_usrclass.dat
002_default
002_software
002_system
ARK330C.tmp
[DETECTION] Is the TR/Agent.136734 Trojan
При этом восстановив файлы и просканировав НОДом - ничего не нашёл.
Зато Curiet тоже кое что нашёл. УЖе в Авире.
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\52a7646f.qua/data001 инфицирован Trojan.SMSSend.108
AVZ вроде ничего не нашёл. Логи сделал, высылаю.
И просмотрите логи Curiet там ещё есть инфецированные обьекты вроде в Авире, но он их вроде как по логам не смог удалить..
И ещё, хотел отправить файлы на он-лайн сканирование, заметил что нет доступа на virus.total и virus.scan.
Поэтому желающим могу прислать файлы лично.
Последний раз редактировалось DISEPEAR; 14.03.2011 в 12:41.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
На egui.exe явно ложное срабатывание.
В Авире папка Infected - резервное хранилище, просто очистите ее.
В логах ничего подозрительного.
virus.total - нет такого адреса, есть www.virustotal.com.
Нам можно прислать файлы в zip-архиве с паролем virus, загружайте по красной ссылке для карантина, вверху темы.
I am not young enough to know everything...
-
-
Ну вот на www.virustotal.com. почему то нет доступа.
Добавлено через 1 час 47 минут
Попробывал отправить файлы с помощью VT Checker.
Но выскакивает ошибка.
Проверка прервана.
Невозможно разрешить удалённое имя www.virus.total.com
С чего бы это?
Добавлено через 1 час 14 минут
Провериля он-лайн сканером BitDefender Quick Scan и было обнаружено следующее:
Found 1 infected file!
----------------------
C:\WINDOWS\system32\drivers\UTE3MJK4.sys --> Rootkit.Bagle.K
--> HKLM\System\ControlSet001\Enum\Root\LEGACY_UTE3MJK 4
--> HKLM\System\ControlSet001\services\ute3mjk4\"Image Path"
Это ещё что такое? Пару дней назад им проверял, проблем не было.
Последний раз редактировалось DISEPEAR; 09.11.2010 в 19:18.
Причина: Добавлено
-
Сообщение от
DISEPEAR
Проверьте, это действительно DNS-сервера вашего провайдера? -
O17 - HKLM\System\CCS\Services\Tcpip\..\{3839E56D-6EC3-40A6-A36F-F7E9ABE59777}:
NameServer = 85.175.46.130,85.175.46.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C4D2B9E-6D6B-4818-8540-2ADE3C98C211}:
NameServer = 85.175.46.122 85.175.46.130
Если нет или не знаете, попробуйте пофиксить эти строки в HijackThis.
UTE3MJK4.sys это драйвер AVZ.
I am not young enough to know everything...
-
-
Вроде бы да.. Хотя в подключении стоит подключаться к DNS серверу автоматически.