63 ответов в этой теме

[WinJ]

Доктор находит и нейтрализует процесс в памяти, Сначала этот процесс был связан с программой Vtune.exe, после отключения автозапуска Vtune Стал детектироваться в процессе LClock.exe. При полной проверке из-под LiveCD были вычищены какие-то нежелательные файлы, вряд ли имеющие отношение к данной проблеме.
Логи делал Cureit:
 cureit-results.cab   229,24К   11 Скачано раз
DrwebSysinfo:
 USS_user_031011_185411.zip   8,02Мб   4 Скачано раз
А вот Хайджек и РкУ ничего сделать не смогли:
 HiJack.jpg   199К   24 Скачано раз
 RkU.jpg   23,97К   12 Скачано раз

[mrbelyash]

вы что не от админа запускали?

[WinJ]

От админа

[mrbelyash]

врядли....Правой кнопкой запустить от

[WinJ]

Попробую. Хотя здесь только одна учётная запись пользователя.

[WinJ]

врядли....Правой кнопкой запустить от

 cureit-results.cab   229,8К   2 Скачано раз
 USS_user_031011_210931.zip   8,16Мб   4 Скачано раз
К сожалению, Хайджек и РкУ отработали как прежде.
А если их запустить в безопасном режиме, это что-нибудь даст?

[Ko6Ra]

Покажите, пожалуйста, экспорт ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows

[mrbelyash]

Покажите, пожалуйста, экспорт ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows

так в логе же должен быть

[Ko6Ra]

Покажите, пожалуйста, экспорт ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows

так в логе же должен быть

Я откровенно говоря не знаю собираем ли мы Wow6432Node. Как-то не было повода проверить.

[WinJ]

Смогу это сделать завтра. Сейчас я уже далеко от заражённого компа.

[WinJ]

 Wow6432Node.rar   568байт   13 Скачано раз

[WinJ]

Файла C:\Windows\system32\ylgzbbd.dll не нахожу.

[mrbelyash]

Файла C:\Windows\system32\ylgzbbd.dll не нахожу.

Far'ом посмотрите

[WinJ]

Far не установлен, WinRARом увидел, сразу и "связал"
http://www.virustotal.com/file-scan/report.html?id=3e01ff35080da35f52ee8eeb4ffbaf71d926e1dcb6427d99e39362a884a07123-1317822574

[mrbelyash]

В вирлаб его.

[WinJ]

Уже. Жду тикет.

[WinJ]

Вне сомнений, это он. Сейчас уже вышел в Интернет в обычном режиме, маячок в памяти больше не детектируется. Спасибо за помощь, тему можно закрывать.

[Ko6Ra]

Тему-то можно закрывать, только давайте дождемся детекта для успокоения совеести.
А вот почему наш всеми любимый dwsysinfo не собирает нативную 64-ю ветку реестра - вопрос. Надо бы фтрекере чиркнуть про это...

[WinJ]

#2700930
5 октября 2011, 18:37
Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует.
Угроза: Trojan.Mayachok.1

Однако...
Жаль, не могу проверить файл: удалил сразу после отправки в вирлаб.

[WinJ]

Trojan.Mayachok.1 действительно давно известен, но cureit даже при полной проверке с liveCD, запущенный с удалённым реестром, ничего не находил. Видимо, в памяти-то он тот же, а вот файл, его порождающий, может не детектироваться.
А вы можете проверить этот файл сейчас?