Ошибка создания временного файла. , ESS 4.2

;uVS v3.71 [Windows 5.1.2600 SP3 Service Pack 3]
; Подозрительные и вирусы          <=

ПОДОЗРИТ.  | D:\PROFIT\ARP\ARP.EXE
ПОДОЗРИТ(А)| C:\WINDOWS\SYSTEM32\DRIVERS\EHDRV.SYS
ПОДОЗРИТ(А)| C:\PROGRAM FILES\FIREBIRD\FIREBIRD_2_0\BIN\FBCLIENT.DLL
ПОДОЗРИТ(А)| C:\PROGRAM FILES\FIREBIRD\FIREBIRD_2_0\BIN\MSVCP71.DLL
ПОДОЗРИТ(А)| C:\PROGRAM FILES\FIREBIRD\FIREBIRD_2_0\BIN\MSVCR71.DLL
ПОДОЗРИТ(А)| C:\PROGRAM FILES\COMMON FILES\ABBYY\FINEREADER\9.00\LICENSING\PE\MSVCR71.DLL
ПОДОЗРИТ(А)| C:\WINDOWS\SYSTEM32\RSERVER30\NEWTSTOP.DLL
ПОДОЗРИТ(А)| C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
ПОДОЗРИТ.  | GOLAC\\\TORNADO.EXЕ

2 последних меня смущают как то..
Pepex,
сделай лог - http://forum.esetnod32.ru/forum9/topic683/
Правильно заданный вопрос - это уже половина ответа
Цитата
Pepex пишет:
ПОДОЗРИТ. | GOLAC\\\TORNADO.EXЕ
Без образа это конечно гадание на коффе...
Тип :
\GOLAC\tornado.exe
\GOLAC\\tornado.exe
\golac\\\tornado.exe ( DrWEB: Trojan.Packed.20312 )

ESET :
Win32/Bflient.K-это червь, который распространяется через съемные носители. Червь содержит backdoor. Может управляться удаленно. Файл run-time сжаты с помощью UPX.
Установка
При запуске червь копирует себя в следующем местоположении:

   %appdata%\sjlp.exe

В целях исполнения на каждом запуске системы, червь устанавливает следующие ключи Реестра:

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   "Taskman" = "%appdata%\sjlp.exe"
   "Shell" = "explorer.exe,%appdata%\sjlp.exe"
Распространение на сменных носителях
Червь копирует себя в следующем местоположении:
%drive%\GOLAC\tornado.exe

Червь создает следующие файлы:
%диск%\autorun.inf

Таким образом, червь обеспечивает его запуске зараженных носителей вставляется в компьютер.
Информация воровство
Червь собирает следующую информацию:
"cookies"
имя пользователя
имя компьютера
версия операционной системы

Червь может отправить информацию удаленной машине.
Другая информация
Червь создает и запускает новый поток с собственным кодом программы, в рамках следующих процессов:

   explorer.exe
   iexplore.exe

Червь собирает данные и команды от удаленного компьютера или Интернета.
Червь содержит список (4) Url.
Он может выполнять следующие операции:

   загрузка файлов с удаленного компьютера и/или сети Интернет
   запустите исполняемые файлы
   открытие определенного URL-адреса
   обновляться до новой версии,
   монитор сетевого трафика
   отправка собранной информации

Так, что образ в студию...
Изменено: RP55 RP55 - 20.10.2011 15:28:04
Вот.
Цитата
Pepex пишет:
Вот.

Вирусы есть!
Отдельный вопрос по файлам:
D:\PROFIT\AUM\AUM.EXE
D:\PROFIT\SKL\SKL.EXE
Вам они известны ?
да. это модули бугалтерской програмы.
Pepex,
выполни скрипт из буфера обмена
Код
;uVS v3.71 script [http://dsrt.dyndns.org] 

sreg 
delref C:\WINDOWS\FGTHS.SYS
areg
Правильно заданный вопрос - это уже половина ответа
после удаления  антивирус обновился. Вирус удален? или от него ещё запчасти остались??
что с TORNADO.EXЕ ??
Для зачистки выполните скрипт №2

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %Sys32%\RSERVER30\NEWTSTOP.DLL

zoo %SystemRoot%\FGTHS.SYS
bl 53BAC9C10D479965FB348DE086559AED 47648
addsgn 943FA75B8D737FB56DE766709CC601CF43592E1F9405E08784C3C0B855D2­704C22FF9DD83E5577A2CD676278ACFDA3633BD90F2796D55AC7C69143C9­20ECC999 8  Win32/Rootkit.Kryptik.DP [NOD32]

chklst
delvir
zoo F:\GOLAC\\\\TORNADO.EXE
delall F:\GOLAC\\\\TORNADO.EXE
zoo GOLAC\\\TORNADO.EXЕ
delall GOLAC\\\TORNADO.EXЕ
deltmp
delnfr
regt 5
regt 18
czoo
restart
Изменено: RP55 RP55 - 20.10.2011 16:56:04
а что делает zoo %Sys32%\RSERVER30\NEWTSTOP.DLL
оно мне радмина убьет?? или эта ДЛЛ к радмину не относится??
Изменено: Pepex - 20.10.2011 17:02:47
Читают тему (гостей: 1)