Показано с 1 по 14 из 14.

не получается избавиться от троянов (заявка № 16768)

  1. #1
    Junior Member Репутация
    Регистрация
    21.01.2008
    Сообщений
    15
    Вес репутации
    60

    Thumbs up не получается избавиться от троянов

    Система - w2k3 SP2. Terminal Services - использую.
    Сначала был синий экран смерти, с ошбкой чего там _page_ и amon.sys (библиотечка нода). снес нод, сситема заработала, но через очень здорово вырос файл подкачки до 1.5. гига и в последстие памяти и дальше не хватало. Прошелся AVZ. Удалил w32sys15.exe. Вот что осталось. Ещё эта штука украла пароли от ФТП и внедрила некий код (см. cod.txt) в конец каждой страницы сайта. Помогите вылечить.
    P.S. что за код такой, что делает?
    Вложения Вложения
    Последний раз редактировалось Kronix; 22.01.2008 в 03:16. Причина: добавил инфо о системе

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Ваш код это Trojan-Downloader.JS.Remora.bp
    Восстановление системы: включено - отключить
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     ClearHostsFile;
     QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');
     QuarantineFile('bootrom8.dll','');
     QuarantineFile('C:\WINDOWS\system32\w32sys5.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\w32sys5.exe');
     BC_ImportAll;
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys');
     BC_DeleteSvc('Deflib');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16768

  4. #3
    Junior Member Репутация
    Регистрация
    21.01.2008
    Сообщений
    15
    Вес репутации
    60
    А восстановление как отключить не подскажите?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Посмотрите здесь http://virusinfo.info/showthread.php?t=1235

  6. #5
    Junior Member Репутация
    Регистрация
    21.01.2008
    Сообщений
    15
    Вес репутации
    60
    смотрел, система windows 2k3 Server. Там ничего по нему нет

    Добавлено через 4 часа 5 минут

    А если без отключения восстановления системы попробовать, 100% троян возвратится?
    Последний раз редактировалось Kronix; 22.01.2008 в 16:37. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Делайте без отключения.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    21.01.2008
    Сообщений
    15
    Вес репутации
    60
    отправил

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В карантине:
    ntos.exe - Trojan-PSW.Win32.Zbot.ds
    DefLib.sys - Trojan.Win32.Agent.asu
    w32sys5.exe - Trojan-PSW.Win32.LdPinch.fbm

    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,C:\Documents and Settings\Administrator\Application Data\ntos.exe,
    O20 - Winlogon Notify: bootrom8 - bootrom8.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\Documents and Settings\Administrator\Application Data\ntos.exe','');
     DeleteFile('C:\Documents and Settings\Administrator\Application Data\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    Сделайте новые логи.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    21.01.2008
    Сообщений
    15
    Вес репутации
    60
    F2 в HijackThis не нашел, карантин закачал 080122_172812_virus_47967c0c3c6ee.zip
    Логи скоро будут

  11. #10
    Junior Member Репутация
    Регистрация
    21.01.2008
    Сообщений
    15
    Вес репутации
    60
    Логи с обновленными за сегодня базами
    Вложения Вложения

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Trojan-PSW.Win32.Zbot.ds C:\WINDOWS\system32\ntos.exe
    Trojan.Win32.Agent.asu C:\WINDOWS\system32\DefLib.sys
    Trojan-PSW.Win32.LdPinch.fbm C:\WINDOWS\system32\w32sys5.exe
    Очистьте временные файлы IE, смените все пароли.

    >> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
    Выполните:
    Код:
    var
    X : integer;
    begin
    X := ExecuteWizard('TSW', 1, 1, true);
    AddToLog('Количество найденных проблем = '+inttostr(X));
    end.
    Какие проблемы остались?

  13. #12
    Junior Member Репутация
    Регистрация
    21.01.2008
    Сообщений
    15
    Вес репутации
    60
    Да вроде не осталось проблем.
    Подозрительные объекты из отчета удалять(3 файла)?

    Добавлено через 1 час 11 минут

    Раз уж пометили, что все ок, то АП. Большое спасибо!
    Последний раз редактировалось Kronix; 24.01.2008 в 03:11. Причина: Добавлено

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Подозрительные объекты из отчета удалять(3 файла)?
    Нет, что нужно - мы удалили
    Не забудьте сменить пароли

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\deflib.sys - Trojan.Win32.Agent.asu (DrWEB: Trojan.NtRootKit.312)
      2. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.yq (DrWEB: Trojan.Proxy.2684)
      3. c:\\windows\\system32\\w32sys5.exe - Trojan-PSW.Win32.LdPinch.fbm (DrWEB: Trojan.PWS.LDPinch.4182)


  • Уважаемый(ая) Kronix, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. не получается избавиться от вирусов
      От Artem.art в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 12.12.2010, 11:40
    2. Не получается избавиться от вирусов.
      От yurynok в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.07.2010, 00:06
    3. Не получается побороть троянов
      От 9dagger в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 27.10.2009, 22:10
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 04:42
    5. не получается избавиться от вирусов
      От mobistyle в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 14.10.2008, 13:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00324 seconds with 20 queries