Показано с 1 по 14 из 14.

Trojan Horse (заявка № 19036)

  1. #1
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    37

    Exclamation Trojan Horse

    Здравствуйте!
    Сегодня утром с этого компьютера началась глобальная отправка электронных писем и Symantec стал выдавать сообщения о Trojan Horse, Downloader, e.t.c. Запустил проверку CureIT, и после удаления большинства троянов отсылка писем прекратилась. Но сейчас Symantec стал выдавать сообщение об обнаружении Trojan Horse. Посомтрите, пожалуйста, логи. На данный момент Symantec никаких сообщений не выводит, но вдруг что-то осталось!
    Последний раз редактировалось ghostil; 21.04.2008 в 14:44.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Installer\{98ff2aef-64d5-4a5e-afcf-37295c7dd62c}\RamBoot.dll','');
     QuarantineFile('C:\WINDOWS\Installer\{81c1175a-de3d-44fc-9392-8b778cbbc396}\zip.dll','');
     QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\.//..//~tmp1174.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\cftmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Kpt04.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     QuarantineFile('C:\WINDOWS\system32\winlagan.exe','');
     QuarantineFile('C:\WINDOWS\system\hipsrv.mm','');
     DeleteFile('C:\WINDOWS\system\hipsrv.mm');
     DeleteFile('C:\WINDOWS\system32\winlagan.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Kpt04.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\cftmon.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Рабочий стол\.//..//~tmp1174.exe');
     DeleteFile('C:\WINDOWS\Installer\{81c1175a-de3d-44fc-9392-8b778cbbc396}\zip.dll');
     DeleteFile('C:\WINDOWS\Installer\{98ff2aef-64d5-4a5e-afcf-37295c7dd62c}\RamBoot.dll');
    BC_ImportALL;
    BC_DeleteSvc('Qpj40');
    BC_DeleteSvc('NdisWon');
    BC_DeleteSvc('asc3550v');
    BC_DeleteSvc('asc355');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=19036).
    Обновите базы AVZ.
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    37
    Скрипт я выполнил, а вот в папке карантина почему-то самого карантина нет. Сейчас обновлю AVZ и сделаю логи! Спасибо большое за оперативный ответ!

  5. #4
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    37
    Вот новые логи, жду Вашего ответа с нетерпением!
    Последний раз редактировалось ghostil; 21.04.2008 в 14:44.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните такой скрипт:
    Код:
    begin
     BC_QrFile('C:\WINDOWS\system\hipsrv.mm');
     BC_DeleteFile('C:\WINDOWS\system\hipsrv.mm');
     BC_DeleteSvc('Qpj40');
     BC_DeleteSvc('NdisWon');
     BC_DeleteSvc('asc3550v');
     BC_DeleteSvc('asc355');
     BC_DeleteSvc('hipsrv');
    BC_Activate;
    RebootWindows(true);
    end.
    Если что-то попадет в карантин - пришлите.
    Повторите лог syscheck.
    I am not young enough to know everything...

  7. #6
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    37
    сейчас сделаю :-)

  8. #7
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    37
    Карантина опять нет. А вот лог syscheck.
    Последний раз редактировалось ghostil; 21.04.2008 в 14:44.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Уже лучше, непонятно только, почему ключи драйверов в реестре не удаляются.
    Сделаем так: Пуск - Выполнить - cmd.
    В окне командной строки последовательно набрать (после каждой строки Enter):
    sc delete Qpj40
    sc delete NdisWon
    sc delete asc3550v
    sc delete asc355
    sc delete hipsrv

    Затем лог syscheck еще раз.
    I am not young enough to know everything...

  10. #9
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    37
    В cmd все комнады выполнил. Вот новый лог!
    Последний раз редактировалось ghostil; 21.04.2008 в 14:44.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Отлично!
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Policies\Explorer\Run: [] 
    Поищите файл wowfx.dll через AVZ - Сервис - Поиск файлов...
    Если найдется - пришлите его по правилам, и еще вот этот на всякий случай:
    C:\WINDOWS\system32\Drivers\Beep.sys
    I am not young enough to know everything...

  12. #11
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    37
    я пофиксил, но файлик этот AVZ не нашла, к сожалению

    Добавлено через 2 минуты

    а вот beep.sys закачал :-)
    Последний раз редактировалось ghostil; 03.03.2008 в 17:16. Причина: Добавлено

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Ничего плохого больше нет.
    Какие-то проблемы остались?
    I am not young enough to know everything...

  14. #13
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    37
    нет, спасибо большое, ничего плохого нет! Компьютер работает нормально!:-)

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Для полной уверенности beep.sys отправлен на "медицинское освидетельствование" в ЛК, так что загляните попозже за справочкой
    I am not young enough to know everything...

  • Уважаемый(ая) ghostil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. TROJAN HORSE
      От shelib в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 15.10.2009, 20:40
    2. trojan.horse
      От Richik в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.04.2009, 11:21
    3. Trojan horse BHO.BDQ
      От Olezh1g в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 02:29
    4. Trojan Horse и что-то еще
      От ultras в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 01:38
    5. Обнаружил Trojan.Pandex и Trojan Horse
      От IFAX в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 09.01.2008, 17:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00478 seconds with 19 queries