Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Trojan-Proxy.Win32.Pixoliz.a (заявка № 11404)

  1. #1
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    112
    Вес репутации
    35

    Exclamation Trojan-Proxy.Win32.Pixoliz.a

    День добрый!
    McAfee увидел Trojan Spam-Xarsever в файле c:\windows\system32\simp_dll.dll. По понимаю AVZ это Trojan-Proxy.Win32.Pixoliz.a.
    McAfee удалить файл не смог. Я удалил его с помощь Unlocker. После перезагрузки файл снова появился. McAfee не смог предотвратить его создание. Видимо, по причине того, что он создался до запуска McAfee.

    Логи прилагаются.
    Очень прошу помочь.
    Последний раз редактировалось Ven; 01.03.2008 в 18:09.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Цитата Сообщение от Ven Посмотреть сообщение
    Логи прилагаются.
    внимательно прочитайте правила ... какие логи присылать и как их прикреплять ...

  4. #3
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    112
    Вес репутации
    35
    Я так и делал. Почему-то ничего не прикрепилось. Возможно, как раз потому, что этот вирь мне канал убивает - даже модем зависает из-за него

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    судя по всему все золовреды уничтожены для контроля сделайте заново virusinfo_syscheck.zip ...

  6. #5
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    112
    Вес репутации
    35
    Да не уничтожены...файл появляется снова и снова. Файл не могу предоставить сейчас. Пишу из дома, а проблема в офисе.
    Думаю, надо искать откуда эта зараза появляется.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    логи все равно повторите ...

  8. #7
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    112
    Вес репутации
    35
    Повторю уже завтра, наверное.
    А лечить как, все-таки?

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    будут логи вылечим ....

  10. #9
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    112
    Вес репутации
    35
    Не особо понимаю что могло измениться с момента последних логов.
    Вы просите лог, называя имя файла. Можно узнать какая это из процедур - до перезагрузки или после нее?

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    внимательно прочитайте http://virusinfo.info/showthread.php?t=1235
    особенно что касается пункта 10 ...
    Код:
    10. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
    выполните это исходя из него будем лечить...

  12. #11
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    112
    Вес репутации
    35
    Угу, понял...так вот я Вам ответственно заявляю:
    Я проверку делал дважды. Между проверками была перезагрузка. То, что я выложил на форум - это результаты второй проверки.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    я так понимаю вам просто тяжело сделать дополнительный лог ...
    пожалуйста вот скрипт лечения ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
     QuarantineFile('C:\WINDOWS\system32\wuauclt.exe',''); 
     QuarantineFile('C:\WINDOWS\system32\simp_dll.dll','');
     DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
     end.
    после выполнения скрипта пришлите карантин согласно приложения 3 правил ...
    повторите все 3 лога ....
    Последний раз редактировалось V_Bond; 29.07.2007 в 02:07. Причина: подумал

  14. #13
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    112
    Вес репутации
    35
    Да, тяжело потому что для этого надо ехать в офис.
    Спасибо за скрипт!
    Объясните пожалуйста что он делает кроме того, что удаляет файл. Дело в том, что удалить я могу и сам и делал это неоднократно, но это не лечение. Ну или может только один из шагов.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    сейчас посмотрю внимательнее ... штука совсем свежая....

  16. #15
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    112
    Вес репутации
    35
    Есть подозрения что ядро патченое и эта библиотека находится в файле ядра, поэтому она и появляется после каждого ребута.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    так скрипт немного подправил пришлите карантин .... согласно приложения 3 правил...

  18. #17
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    112
    Вес репутации
    35
    Ваш скрипт выполнил. Лечение произвел руками:
    удалил из папки c:\windows\system32 следующие файлы:
    wuclt*
    ntoskrnl.exe

    последний восстановился из кеша ОС и имел меньший размер, чем тот, что я удалил.
    Если быть более точным, то я не удалил, а заархивировал под пароль и только потом удалили .EXE.
    На форум архив выложить не могу из-за большого размера.
    Судя по тому, что файл simp_dll.dll не создается вновь, как ранее - вирус устранен.

  19. #18
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    112
    Вес репутации
    35
    Вот два файлика, еще один в след сообщении будет
    Последний раз редактировалось Ven; 01.03.2008 в 18:09.

  20. #19
    Junior Member Репутация
    Регистрация
    28.07.2007
    Сообщений
    112
    Вес репутации
    35
    Не прикрепляет третий....говорит что уже есть такой....видимо, форум глючит на тему прикрепления файлов...ну ладно - не страшно...

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    simp_dll.dll похоже не удалился .... сделайте заново virusinfo_syscheck.zip
    если не будет прикрепляться попробуйте удалить старый...

  • Уважаемый(ая) Ven, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Trojan-Proxy.Win32
      От tehnik34 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 21.08.2009, 13:43
    2. Win32/Trojan Proxy Small MU Trojan
      От cocosanka в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 17.04.2009, 06:48
    3. Ответов: 8
      Последнее сообщение: 22.02.2009, 05:38
    4. Trojan-Proxy.Win32.Xorpix.ar
      От Romeo4755 в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 02:43
    5. Trojan.Proxy.Win32.Dlena.bv
      От Valery R в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 01:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00018 seconds with 19 queries