BackDoor.Pigeon.3347

[Rogoff]

Не совсем уверен что поступил правильно, но ситуация следующая:

в начале месяца сделал проверку по правилам вирусинфо, тогда дрвеб нашел следующую заразу:
C:\sysukdu.exe инфицирован Trojan.DownLoader.22899 - удален
C:\WINDOWS\Temp\28.tmp инфицирован Trojan.Proxy.1872 - удален
C:\WINDOWS\Temp\55.tmp инфицирован Trojan.Proxy.1872 - удален

и логи АВЗ и hijackthis по правилам.

Вчера сделал проверку дрвебом повторно и логи тоже, соответственно старых логов теперь нет, а дрвеб нашел только BackDoor.Pigeon.3347 и удалил предыдущие три из папки инфицированных АВЗ

Логи АВЗ и hijackthis прилагаю

Для сведения хотелось бы знать как поступать если логи были сделаны ранее, то сначала их отправить даже если прошло пару недель?

[Muzzle]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Kuma Games\kgsystray\Kuma_tray.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11649

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

 O23 - Service: Transaction Provisioning Service (duosf) - Unknown owner - C:\WINDOWS\system32\ServerPro.exe (file missing)

повторите логи.
Лучше присылать новые логи, сделанные на данный момент,ибо за две недели можно ещё чего словить

[Rogoff]

Судя по логу hijackthis записи заразы остаются, но комп заметно шустрее работать стал

Да, карантин загружен
Файл сохранён как 070814_044924_virus_46c0fc2b728af.zip
Размер файла 1360454
MD5 5ca17619dea8365ef91bd90fb9a12f8c

[Muzzle]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_QrFile('C:\WINDOWS\hsk.exe');
 BC_DeleteSvc('duosf');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Если попадёт в карантин, то прислать согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11649
повторите лог hijackthis

[Rogoff]

Карантин сделал, отметил все было Видимо нужно было только то, что связано с hsk.exe?

Файл сохранён как 070814_073922_virus_46c1240132796.zip
Размер файла 1360431
MD5 9c770abe82a4bd4fb858b5722215b625

В логах hijackthis этот hsk.exe снова в реестр прописывается

[Muzzle]

Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O23 - Service: wini64 - Unknown owner - C:\WINDOWS\hsk.exe (file missing)

больше ничего нет подозрительного.

[Rogoff]

т.е. снова логи не надо делать?

[Muzzle]

давайте для полного успокоения, весь пакет логов

[Rogoff]

Вот и логи

[Muzzle]

В логах всё чисто.
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

[Rogoff]

Большое спасибо за помощь, базу в ближайшее время постараюсь создать. Но сначала я решил привести службы в порядок по советам из электронной книги "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и обнаружил службу wini64, которая значится отключенной. Вроде как мы с ней боролись и видимо не все почистили раз она висит в списке служб? Или это просто остаточный след от нее?

[Muzzle]

можно её следы удалить,окончательно.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  BC_DeleteSvc('wini64');
BC_Activate;
RebootWindows(true);
end.