-
троян прокси
Доброго вам времени суток. У меня тут возникла проблемка с вечно выживающим трояном и мя которое ему дола АВЗ Trojan-Proxy.Win32.Pixoliz.a на компе он уменя живет в таких файликах C:\WINDOWS\system32\simp_dll.bak и C:\WINDOWS\system32\simp_dll.dll удолить эту гадость у меня так и не получилусь так же как и АВЗ в процесе сканирования тоже его не осилила
Вот поэтому я теперь тут прошу вашей помощи в борьбе с данной заразой......
логи прилогаю
SP1 обнавлю после лечения
Последний раз редактировалось fotorama; 22.01.2008 в 09:20.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
вот он корень зла!
Platform: Windows XP SP1 (WinNT 5.01.2600)
Internet Explorer v6.00 SP1 (6.00.2800.1106)
обновить то SP2+все критические обновления(потребуется активация)
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\simp_dll.dll','');
DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12177
Варианты лечения:
Скорей всего патчен системный файл ntoskrnl.exe
1)его потребуется заменить на оригинальный с дистрибутива.
2) можно воспользоваться триальной версией Касперского(он умеет лечить этот вирус)
http://www.kaspersky.ru/trials
3) CureIt beta ftp://ftp.drweb.com/pub/drweb/cureit/cureit-beta.exe
http://info.drweb.com/show/3098/ru
скажите что вам нужно из этого списка?остальное пофиксим
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
Последний раз редактировалось Muzzle; 04.09.2007 в 15:33.
-
-
@fotorama
Сообщения: 160 - и не стыдно. Каждый раз пишем: установи СП2, установи ... и в каждой новой теме одно и тоже.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
Muzzle
вот он корень зла!
обновить то SP2+все критические обновления(потребуется активация)
1.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\simp_dll.dll','');
DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно
приложения 3 правил .
Загружать по ссылке:
http://virusinfo.info/upload_virus.php?tid=12177
Скорей всего патчен системный файл
ntoskrnl.exe и его потребуется заменить на оригинальный с дистрибутива.
Или как вариант можно воспользоваться триальной версией Касперского(он умеет лечить этот вирус)
спасибо за скрипт щас все зделаю про СП1 я уже писал что обновлю после лечения (а при обновление винды ntoskrnl.exe он не замениться на оригинальный)
Сообщение от
PavelA
@fotorama
Сообщения: 160 - и не стыдно. Каждый раз пишем: установи СП2, установи ... и в каждой новой теме одно и тоже.
Да это не мне должно быть стыдно а тем кто несет мне эти компы я уже замохался им всем говорить что винду нужно обновлять(и как обновлять) и уже рука больт всем им на бумажках записывать адрес вашего ресурса чтоб они сами квам наведывались, но что толку всеравно тащут с мативацией "мы туда зашли там все непонятно на Вов лутьше сам посмотри" блинн
Добавлено через 1 минуту
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
это потом сам профиксю
Добавлено через 2 часа 14 минут
карантин загружен
Файл сохранён как070904_081945_virus_fotorama_46dd5b719f60d.zipР азмер файла2750124MD57677296399d6b2a231b9c3aa8f53b0f2
Последний раз редактировалось fotorama; 04.09.2007 в 17:53.
Причина: Добавлено
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Всё верно файл ntoskrnl.exe, патченый
Avast 4.7.1029.0 2007.09.04 Win32ixoliz-B
BitDefender 7.2 2007.09.05 Trojan.Proxy.Pixoliz.C
eSafe 7.0.15.0 2007.09.04 Suspicious Trojan/Worm
F-Secure 6.70.13030.0 2007.09.04 Trojan.Win32.Patched.ah
Kaspersky 4.0.2.24 2007.09.05 Trojan.Win32.Patched.ah
Rising 19.39.12.00 2007.09.04 Virus.Win32.Sosisko.a
Sunbelt 2.2.907.0 2007.09.05 VIPRE.Suspicious
VBA32 3.12.2.3 2007.09.04 suspected of Embedded.Trojan-Proxy.Win32.Pixoliz.a
VirusBuster 4.3.26:9 2007.09.04 Trojan.Patched.T
Webwasher-Gateway 6.0.1 2007.09.05 Win32.Malware.gen!90
Его лучше заменить или вылечить, до установки обновления SP2.
Если есть дистрибутив, то вот вариант как это сделать:
ПУск--выполнить--cmd
expand x:\i386\ntoskrnl.ex_ y:\windows\system32\ntoskrnl.exe
x - буква CD, y - буква диска с windows xp
после этого выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\simp_dll.bak');
DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_DeleteFile('C:\WINDOWS\system32\simp_dll.bak');
BC_DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Или же воспользуйтесь другими советами который я дал раньше.
После повторите логи.
-
-
выполнение скрипта приводит к синиму экрану
stop: 0x0000008e
после перезакрузки компа вирус всеравно жив....
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
а если так ...
выполните скрипт ....
Код:
begin
DeleteFile('C:\WINDOWS\system32\simp_dll.bak');
DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_DeleteFile('C:\WINDOWS\system32\simp_dll.bak');
BC_DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
-
-
скрипт выполнил вроде помогло логи прилогаю
Последний раз редактировалось fotorama; 22.01.2008 в 09:20.
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
ребят как там с вирусом мертв или нет?
на D:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
Файл успешно помещен в карантин (D:\autorun.inf) не оброщайте внемание это для отображения значка на моей флешке
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Сообщение от
fotorama
как там с вирусом мертв или нет?
Мертв.
-
-
Сообщение от
AndreyKa
Мертв.
благодарю
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Теперь смело устанавливайте SP2+все критические обновления.
-