Показано с 1 по 9 из 9.

TroJan-Proxy.win32.small.np (заявка № 25309)

  1. #1
    Junior Member Репутация
    Регистрация
    25.06.2008
    Сообщений
    14
    Вес репутации
    58

    Thumbs up TroJan-Proxy.win32.small.np

    Добрый день.
    Сегодня поймал нехорошего трояна.
    Касперский пишет что winlogon.exe заражен TroJan-Proxy.win32.small.np и неизлечим.
    Наблюдается постоянная отдача по инету.
    Вложения приложил.
    Прошу о помощи.
    Заранее Благодарен.
    Последний раз редактировалось Дмитрий_M; 04.07.2008 в 12:01.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Qvb84');
     SetServiceStart('Qvb84', 4);
     StopService('Lwmt74');
     SetServiceStart('Lwmt74', 4);
     QuarantineFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temporary Internet Files\Content.IE5\YQITL9S2\1[1].exe','');
     QuarantineFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temporary Internet Files\Content.IE5\BV55P9PM\xloader[1].exe','');
     QuarantineFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temp\~g1.tmp','');
     QuarantineFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temp\2\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\tmp_b.dll','');
     QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Qvb84.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Lwmt74.SYS','');
     QuarantineFile('C:\WINDOWS\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\wininet.exe','');
     QuarantineFile('C:\DOCUME~1\MALENK~1\LOCALS~1\Temp\D87.tmp','');
     DeleteFile('C:\DOCUME~1\MALENK~1\LOCALS~1\Temp\D87.tmp');
     DeleteFile('C:\WINDOWS\system32\wininet.exe');
     DeleteFile('C:\WINDOWS\winlogon.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Lwmt74.SYS');
     DeleteFile('C:\WINDOWS\System32\drivers\Qvb84.sys');
     DeleteFile('C:\WINDOWS\system32\svshost.dll');
     DeleteFile('C:\WINDOWS\system32\tmp_b.dll');
     DeleteFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temp\2\svchost.exe');
     DeleteFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temp\~g1.tmp');
     DeleteFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temporary Internet Files\Content.IE5\BV55P9PM\xloader[1].exe');
     DeleteFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temporary Internet Files\Content.IE5\YQITL9S2\1[1].exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('Qvb84');
    BC_DeleteSvc('Lwmt74');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=25309).

    Очистите временные файлы IE через "Свойства обозревателя".
    Сделайте новые логи.

    Добавлено через 1 минуту

    P.S. И еще папку C:\Documents and Settings\Malenkov_DS\Local Settings\Temp желательно очистить полностью.
    Последний раз редактировалось Bratez; 25.06.2008 в 11:32. Причина: Добавлено
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    25.06.2008
    Сообщений
    14
    Вес репутации
    58
    Все сделал, выложил новые логи.
    Последний раз редактировалось Дмитрий_M; 04.07.2008 в 12:00.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Отключив интернет и антивирус, выполните такой скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
    ClearQuarantine;
     QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
     DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Qvb84.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
    BC_ImportDeletedList;
     BC_DeleteSvc('Qvb84');
     BC_DeleteSvc('tcpsr');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Если что-то попадет в карантин - пришлите по правилам.
    Повторите только лог syscheck (п.10 правил).
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    25.06.2008
    Сообщений
    14
    Вес репутации
    58
    Доброе утро. Спасибо за оперативную помощь.
    К сожалению не смог больше вчера зайти на ваш сайт.
    Все сделал лог и карантин прилагаю.
    Антивирус уже молчит.
    Еще раз спасибо.

    Извиняюсь, но карантин почему то не загружается в нем:
    c:\Program Files\Internet Explorer\SETUPAPI.dll
    причина карантина - скопирован МП
    имя в карантине avz00001.dta
    размер 29696
    Последний раз редактировалось Дмитрий_M; 04.07.2008 в 12:00.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Скачайте Ice Sword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip,
    распакуйте, запустите, нажмите слева внизу File, найдите
    C:\WINDOWS\system32\Drivers\Qvb84.sys
    нажмите правой кнопкой и выберите Force Delete.

    Затем сразу же выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\System32\Drivers\Qvb84.sys');
    BC_DeleteFile('C:\WINDOWS\System32\Drivers\Qvb84.sys');
    BC_DeleteSvc('Qvb84');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сделайте еще раз лог syscheck.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    25.06.2008
    Сообщений
    14
    Вес репутации
    58
    Все сделал.
    Последний раз редактировалось Дмитрий_M; 04.07.2008 в 12:00.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Теперь чисто.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    25.06.2008
    Сообщений
    14
    Вес репутации
    58
    "Шайтан" да и только(в хорошем смысле)
    Еще раз спасибо.

  • Уважаемый(ая) Дмитрий_M, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan-Proxy.Win32.Small
      От Dream-BY в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:47
    2. Нужна помощь! Trojan-Proxy.Win32.Small.vo
      От C. Keen в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 08:18
    3. Споймал Trojan-Proxy.Win32.Small.mu
      От Adeke в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:11
    4. Ответов: 8
      Последнее сообщение: 22.02.2009, 05:38
    5. Poimal Trojan-Proxy.Win32.Small.mu
      От Snof в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 23.09.2008, 20:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00998 seconds with 19 queries