Перейти к содержанию

Trojan-Downloader


Рекомендуемые сообщения

Здравствуйте!

 

У меня антивирус последние два дня то и дело сообщает о вирусе, даже если я не сижу в Интернете. Я посмотрела в его отчетах, и, похоже, вирус находится у меня на компьютере, и, судя по тому, что пишет Касперский, постоянно пытается получить доступ к антивирусу. Касперский нашел пару Trojan-Downloader (разных), но то и дело пишет о каких-то процессах. Т.е. он их удалить, видимо, не может.

 

У меня была проблема чуть больше месяца назад здесь. Может, это как-то взаимосвязано, но тогда все было в порядке. И по названиям эти вирусы на те не похожи, но мало ли.

 

Я сделала то, что требуется для оформления запроса, а также скрины отчетов Касперского (на всякий случай).

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

sysinfo.zip

post-4142-1216042414_thumb.jpg

post-4142-1216042437_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\2\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты

А что такое svchost.exe? Это точно не системный файл, а то он у меня давно в процессах торчит?

Изменено пользователем Tatyana
Ссылка на комментарий
Поделиться на другие сайты

Есть системный svchost.exe, только он находится в папке system32? а она соответственно в папке с Windows, я же хочу удалить файл который маскируется под svchost.exe, но находится во временной папке, откуда и запускается.

Ссылка на комментарий
Поделиться на другие сайты

Да, Касперский снова написал, что была "Попытка процесса с PID 244 получения доступа к процессу Антивирус Касперского с PID 3588 заблокирована". Ничего другого пока больше не было. Если что-то будет, напишу.

 

Все-таки меня беспокоят эти процессы (на скрине с желтенькими кружочками и красными подчеркиваниями), которые атакуют антивирус. Это вирусы? :appl:

post-4142-1216070870_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Надо знать какой процесс в это время занимал указанный PID

 

Но вообще - если КИСуля отрапортовала - значит отразила

Кстати - иногда на СЗ находит, и любую попытку, даже самую безобидную, например получить список процессов - она считает покушением на честь. :appl:

Ссылка на комментарий
Поделиться на другие сайты

Надо знать какой процесс в это время занимал указанный PID

А как это можно сделать? А то этих вещей раньше не было. Начались вчера, когда я, видимо, поймала Трояна, т.к. первое предупреждение было вчера, и вчера их было больше (по штуки 4-6 подряд).

 

 

Вопрос к wise-wistful, в обновленных логах что-нибудь еще было найдено? Больше уведомлений о Trojan-Downloader'ах не было. Но, может, после них что-то осталось? :appl:

Ссылка на комментарий
Поделиться на другие сайты

Вызывается диспетчер задач

Вид\Выбрать столбцы\Выбирается PID, если он не выбран

Далее сортируется по столбцу PID - и смотрим, кто такой особо наглый

post-2013-1216073089_thumb.jpg

 

Но это желательно сразу, после получения алерта

либо до первой перезагрузки - после перезагрузки - PID назначаются снова

А до перезагрузки - если его (номера такого) нет - значит уже выгружен, и его уже бесполезно ловить по указанному номеру, следующий раз он получит новый номер

Ссылка на комментарий
Поделиться на другие сайты

Kapral, спасибо! Буду пробовать выловить наглеца. :)

 

Все не слава Богу. У меня в диспетчере задачь отображаются только Имя образа, Имя пользователя, ЦП и Память. :appl:

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...