Помогите-ВИРУСЫ

[VALidol©]

pressorerster
приятно работать с умными людьми
попробуй, может с твоим работает

[Ell]

VALidol©
возможно что в самом пинче/трое заложена смена пароля, поэтому и уводят даже кривые номера

[Duke]

VALidol©

непонятно првда, зачем нужен 9-знак с незапоминающимся набором цифр?

дак а вирус то всё подряд чикает. а уж хозяин потом выберет красивые номерки
Добавлено:
Тема объединена.

[Sandra Nasic]

Вопрос!
Кто знает хоть ЧТО-ТО о ТРОЯНе Win32:StartPage-187 [Trj]??

Просто сейчас пришлось с ним столкнуться. С ним-тоя разобралась. А вот о нем ничего не знаю... Что он из себя представляет?

[Duke]

Sandra Nasic

Кто знает хоть ЧТО-ТО о ТРОЯНе Win32:StartPage-187 [Trj]??

Похоже это одна из модификаций трояна Trojan.Win32.StartPage !

Код Выделить Развернуть


Trojan.Win32.StartPage.amd


Rootkit:  Да
Видимые проявления:  Подмена стартовой страницы
Невозможность восстановления стартовой страницы IE
AVZ детектирует перехват функции ZwSetValueKey драйвером paraudio.sys  




Классический Trojan.Win32.Startpage, дополненный руткитом для блокировки восстановления настроек браузера в реестре. Исполняемый файл имеет размер 14336 байта, не сжат и не зашифрован. В случае запуска скрытно выполняет следующие действия:
1. Производит подмену стартовой страницы путем правки соответствующего ключа в реестре (устанавливает ссылку на некую страницу на китйском языке).
2. Создает на диске файл WINDOWS\system32\drivers\paraudio.sys и регистрирует его в реестре (ключ paraudio, симв. имя драйвера - \\.\RegGuard)
3. Загружает драйвер paraudio.sys

Драйвер paraudio.sys является руткит-компонентой (размер 7744 байта, драйвер хранится в теле трояна), его задача - блокировать восстановление ключа реестра с настройками браузера. Для решения этой задачи драйвер перехватывает функцию ZwSetValueKey

Детектирование вручную:
1. Подмена стартовой страницы и невозможность ее изменения
2. Появление постороннего перехвата, запись в протоколе AVZ имеет вид:
Функция ZwSetValueKey (F7) перехвачена (80575527->FCA4508A), перехватчик C:\WINDOWS\system32\drivers\paraudio.sys
3. В исследовании системы обнаруживается посторонний драйвер (в разделе "модули пространства ядра")

Удаление вручную:
1. Удалить драйвер drivers\paraudio.sys
2. Перезагрузиться и убедиться в том, что перехват фунции пропал


Так же смотреть [Для просмотра ссылки зарегистрируйтесь].

[Sandra Nasic]

Duke

Удаление вручную:1. Удалить драйвер drivers\paraudio.sys

А как его найти? Через ПОИСК? Или как-то по-другому?
Впринципе Аваст мне выдал вирус.Я его удалила... Есть вероятность того, что ЧТО-ТО осталось на компьютере?

[Ell]

WINDOWS\system32\drivers\paraudio.sys

если удалял аваст, то да =))

[Sandra Nasic]

Ell

если удалял аваст, то да =))

Что - да? Осталось что-то??
И что теперь делать? Искать этот драйвер?

[Duke]

Sandra Nasic
Возьми да поищи хуже не будет

[Sandra Nasic]

Duke

Возьми да поищихуже не будет

Я искала через ПОИСК, но не нашла... И что теперь?
Добавлено:
Duke

Функция ZwSetValueKey (F7) перехвачена (80575527->FCA4508A), перехватчик C:\WINDOWS\system32\drivers\paraudio.sys

Прошлась к нему, а его там нет... По кранйей мере, paraudio.sys там я не нашла.

Удаление вручную:1. Удалить драйвер drivers\paraudio.sys

Получается, что и нечего удалять?