Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Трояны (заявка № 15494)

  1. #1
    Junior Member Репутация
    Регистрация
    20.12.2007
    Сообщений
    27
    Вес репутации
    33

    Thumbs up Трояны

    Сотрудница "сидела" за моим компьютером, на следующий день AVG Free Edition выдаёт мне целое "стадо лошадей".Огромная просьба помочь.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Dokumente und Einstellungen\All Users\Startmenь\Programme\Autostart\tempweg.bat','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\Programme\Internet Explorer\Plugins\NPUPano.dll','');
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15494

    Добавлено через 1 час 49 минут

    tempweg.bat- не попал в карантин, поищите пожалуйста в ручном режиме. Пункт 2 правил
    Последний раз редактировалось drongo; 20.12.2007 в 16:33. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    20.12.2007
    Сообщений
    27
    Вес репутации
    33
    Делаю всё,как описано в Правилах,но при просмотре Карантина файл tempweg.bat не видно.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Вы его не в карантине ищите, а на компьютере: Сервис - Поиск файлов на диске

  6. #5
    Junior Member Репутация
    Регистрация
    20.12.2007
    Сообщений
    27
    Вес репутации
    33
    Найти его не проблема.Как его в каратин "засунуть"?

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    не проблема .... особенно если искать через AVZ ....

  8. #7

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    secdrv.sys тоже заодно
    Можно просто запаковать копии в zip архив с паролем virus, это аналогично карантину avz

  10. #9
    Junior Member Репутация
    Регистрация
    20.12.2007
    Сообщений
    27
    Вес репутации
    33
    Посылаю,всё что нашла.Напишите получили или нет.Что-то не вижу,что загрузила их.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    betsy , Получили, больше посылать копий не надо
    ребята, вот что в батнике . нихт ферштейн но пойму чистит временные файлы
    Код:
    @echo off
    REM lצschen des temp verzeichnisses 2000/xp
    REM plus unterverzeichnisse ohne nachfrage
    rd %temp% /s /q
    REM neues temp verzeichnis erzeugen
    md %temp

  12. #11
    Junior Member Репутация
    Регистрация
    20.12.2007
    Сообщений
    27
    Вес репутации
    33
    батник удаляет temp-папку (или как это по-русски называется???) и создаёт тут же новую.не пугаемся,помогаем пожалуйста дальше

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    осталось подождать вердикта лаба , сделайте пока новые логи , посмотрим точно удалился ли ваш троян Trojan.Win32.Small.ut

  14. #13
    Junior Member Репутация
    Регистрация
    20.12.2007
    Сообщений
    27
    Вес репутации
    33
    Пожалуйста для тех,кто на бронепоезде,то есть для меня поясните,"сделать ещё раз логи"-повторить все эти процедуры описанные в правилах с п.1 по п.14. и выслать файлы вам?

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    с п.8 по 13 и приложить к сообщению
    I am not young enough to know everything...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    В общем да сделать те же файлы (только новые) и прикрепить так же как в первом вашем сообщении, присылать не надо, только прикрепить.

  17. #16
    Junior Member Репутация
    Регистрация
    20.12.2007
    Сообщений
    27
    Вес репутации
    33
    Доброе утро,день,вечер!(нужное подчеркнуть)
    Сделала новые логи.Жду дальнейших распоряжений.
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    мда, или вы не отключили ваш антивирус перед выполнением скрипта, или в авз баг с удалением сервиса трояна
    Значит так , попробуйте вот этот скрипт и новые логи сделать(после него ).
    Код:
    begin
     BC_QrFile('C:\lich.sys');
     BC_QrFile('C:\lich.exe');
     BC_DeleteFile('C:\lich.sys');
     BC_DeleteFile('C:\lich.exe');
     BC_DeleteSvc('ZZZdrv_lich');
     BC_Activate;
     RebootWindows(true);
    end.
    Последний раз редактировалось drongo; 21.12.2007 в 11:05.

  19. #18
    Junior Member Репутация
    Регистрация
    20.12.2007
    Сообщений
    27
    Вес репутации
    33
    Скрипт запустила.Логи сделала.
    Вложения Вложения

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Запустить HijackThis.
    2. Нажать кнопку Open The Misc Tools section
    3. Нажать кнопку Delete an NT Service
    4. В открывшемся диалоге ввести название службы:
    ZZZsvc_lich
    5.Нажать кнопку OK
    P.S. Перегрузиться не помешает

    Обратиться к местному админу, что из этого используеться- остальное отключим.
    Services: potentially dangerous service allowed RemoteRegistry (Remote-Registrierung)
    >> Services: potentially dangerous service allowed TermService (Terminaldienste)
    >> Services: potentially dangerous service allowed SSDPSRV (SSDP-Suchdienst)
    >> Services: potentially dangerous service allowed Schedule (Taskplaner)
    >> Services: potentially dangerous service allowed mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
    >> Services: potentially dangerous service allowed RDSessMgr (Sitzungs-Manager f?r Remotedesktophilfe)
    > Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
    >> Security: disk drives' autorun is enabled
    >> Security: administrative shares (C$, D$ ...) are enabled
    >> Security: anonymous user access is enabled
    >> Security: sending Remote Assistant queries is enabled

    Не сидеть под админом, только под ограниченным юзером- тогда такого бы не было- просто троян не смог бы установиться.
    Кстати, AVG его не знает, если хотите - нужно отослать разработчикам- он у вас в архиве должен быть.
    Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefoxэто позволяют делать в отличии от IE 7 ,6....)

  21. #20
    Junior Member Репутация
    Регистрация
    20.12.2007
    Сообщений
    27
    Вес репутации
    33
    Делаю всё как сказали,но выдаёт сделующее:
    "The service `ZZZsvc_lich` is enabled and/or running.Disabled it first,using HiiackThis it self (from the scan results) or the Services.msc window"

  • Уважаемый(ая) betsy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. трояны
      От Gross в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 17.06.2010, 22:12
    2. Трояны
      От kba в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.11.2009, 21:22
    3. трояны
      От vanda в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.10.2009, 10:08
    4. Трояны
      От NewWave в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 03:38
    5. PSW трояны
      От user9 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.01.2008, 22:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00053 seconds with 24 queries