Показать сообщение отдельно
Старый 11.02.2008, 07:29   #5
StayeR
Пользователь
 
Аватар для StayeR
 
Пол:Мужской
Регистрация: 18.05.2007
Сообщений: 117
Репутация: 233
По умолчанию Ответ: Выручайте! Вирус Win32/Spy.Goldun.SX

Хм... Интересный поворот событий произошел...

Вот лог скана AVZ

Ну самое интересное что здесь:

[микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,AppInit_DLLs,C:\WINDOWS\ system32\rserver30\r3god.dll

Это Radmin... Причем вылеченный от жадности, разумеется... Скачанный с этого форума... После удаления этого файла, радмин остался работоспособным... Кхм...

И второе -
>>> C:\WINDOWS\system32\ntos.exe ЭПС: подозрение на Файл с подозрительным именем Trojan.Win32.Banker (высокая степень вероятности)
>>> C:\WINDOWS\system32\ntos.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)

Вот, похоже оно! Открыл реестр - нашел ключи автозапуска... Удалить не получалось - файл запускал Winlogon.exe. Через параметр "Userinit".
Дальше разблокировал Unlocker - ом, вырезал на рабочий стол и о ЧУДО! Nod заверищал! Вероятно модифицированный Win32/obfuscated!

Все, будем ждать результат... Тему пока не закрываем...

P.S: CureIt в этом файле ничего криминального не нашел... И оба нашли много безобидного...
__________________
Не говорите сисадмину: "Заходи, гостем будешь". Дайте ему зайти либо "админом", либо "пользователем"!
StayeR вне форума
 
Вверх
 
Время генерации страницы 0.02882 секунды с 10 запросами