Trojan-Downloader

[Tatyana]

Здравствуйте!

 

У меня антивирус последние два дня то и дело сообщает о вирусе, даже если я не сижу в Интернете. Я посмотрела в его отчетах, и, похоже, вирус находится у меня на компьютере, и, судя по тому, что пишет Касперский, постоянно пытается получить доступ к антивирусу. Касперский нашел пару Trojan-Downloader (разных), но то и дело пишет о каких-то процессах. Т.е. он их удалить, видимо, не может.

 

У меня была проблема чуть больше месяца назад здесь. Может, это как-то взаимосвязано, но тогда все было в порядке. И по названиям эти вирусы на те не похожи, но мало ли.

 

Я сделала то, что требуется для оформления запроса, а также скрины отчетов Касперского (на всякий случай).

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

sysinfo.zip

[Mona Sax]

Tatyana заходите в основное окно антивируса, делаете "аварийный диск", с него загружаетесь и сканируете систему.

[Tatyana]

Спасибо. Попробую.

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\2\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Повторите логи.

[Tatyana]

Это лекарство? Сейчас сделаю, а то с аварийным диском у меня, видать, ничего не выйдет.

[ТроПа]

Да давайте попробуем вначале так полечиться.

[Tatyana]

А что такое svchost.exe? Это точно не системный файл, а то он у меня давно в процессах торчит?

Изменено 14 июля, 2008 пользователем Tatyana

[ТроПа]

Есть системный svchost.exe, только он находится в папке system32? а она соответственно в папке с Windows, я же хочу удалить файл который маскируется под svchost.exe, но находится во временной папке, откуда и запускается.

[Tatyana]

Ага. Понятно. Спасибо! Буду пробовать.

 

Сделала. Вот новые логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

sysinfo.zip

[ТроПа]

Проблемы ещё присутствуют?

[Tatyana]

Да, Касперский снова написал, что была "Попытка процесса с PID 244 получения доступа к процессу Антивирус Касперского с PID 3588 заблокирована". Ничего другого пока больше не было. Если что-то будет, напишу.

 

Все-таки меня беспокоят эти процессы (на скрине с желтенькими кружочками и красными подчеркиваниями), которые атакуют антивирус. Это вирусы?

[Kapral]

Надо знать какой процесс в это время занимал указанный PID

 

Но вообще - если КИСуля отрапортовала - значит отразила

Кстати - иногда на СЗ находит, и любую попытку, даже самую безобидную, например получить список процессов - она считает покушением на честь.

[Tatyana]

Надо знать какой процесс в это время занимал указанный PID

А как это можно сделать? А то этих вещей раньше не было. Начались вчера, когда я, видимо, поймала Трояна, т.к. первое предупреждение было вчера, и вчера их было больше (по штуки 4-6 подряд).

 

 

Вопрос к wise-wistful, в обновленных логах что-нибудь еще было найдено? Больше уведомлений о Trojan-Downloader'ах не было. Но, может, после них что-то осталось?

[Kapral]

Вызывается диспетчер задач

Вид\Выбрать столбцы\Выбирается PID, если он не выбран

Далее сортируется по столбцу PID - и смотрим, кто такой особо наглый

 

Но это желательно сразу, после получения алерта

либо до первой перезагрузки - после перезагрузки - PID назначаются снова

А до перезагрузки - если его (номера такого) нет - значит уже выгружен, и его уже бесполезно ловить по указанному номеру, следующий раз он получит новый номер

[Tatyana]

Kapral, спасибо! Буду пробовать выловить наглеца.

 

Все не слава Богу. У меня в диспетчере задачь отображаются только Имя образа, Имя пользователя, ЦП и Память.