Добрый день.
Сегодня поймал нехорошего трояна.
Касперский пишет что winlogon.exe заражен TroJan-Proxy.win32.small.np и неизлечим.
Наблюдается постоянная отдача по инету.
Вложения приложил.
Прошу о помощи.
Заранее Благодарен.
Добрый день.
Сегодня поймал нехорошего трояна.
Касперский пишет что winlogon.exe заражен TroJan-Proxy.win32.small.np и неизлечим.
Наблюдается постоянная отдача по инету.
Вложения приложил.
Прошу о помощи.
Заранее Благодарен.
Последний раз редактировалось Дмитрий_M; 04.07.2008 в 12:01.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Qvb84'); SetServiceStart('Qvb84', 4); StopService('Lwmt74'); SetServiceStart('Lwmt74', 4); QuarantineFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temporary Internet Files\Content.IE5\YQITL9S2\1[1].exe',''); QuarantineFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temporary Internet Files\Content.IE5\BV55P9PM\xloader[1].exe',''); QuarantineFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temp\~g1.tmp',''); QuarantineFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temp\2\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\tmp_b.dll',''); QuarantineFile('C:\WINDOWS\system32\svshost.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\Qvb84.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Lwmt74.SYS',''); QuarantineFile('C:\WINDOWS\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\wininet.exe',''); QuarantineFile('C:\DOCUME~1\MALENK~1\LOCALS~1\Temp\D87.tmp',''); DeleteFile('C:\DOCUME~1\MALENK~1\LOCALS~1\Temp\D87.tmp'); DeleteFile('C:\WINDOWS\system32\wininet.exe'); DeleteFile('C:\WINDOWS\winlogon.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Lwmt74.SYS'); DeleteFile('C:\WINDOWS\System32\drivers\Qvb84.sys'); DeleteFile('C:\WINDOWS\system32\svshost.dll'); DeleteFile('C:\WINDOWS\system32\tmp_b.dll'); DeleteFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temp\2\svchost.exe'); DeleteFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temp\~g1.tmp'); DeleteFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temporary Internet Files\Content.IE5\BV55P9PM\xloader[1].exe'); DeleteFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temporary Internet Files\Content.IE5\YQITL9S2\1[1].exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Qvb84'); BC_DeleteSvc('Lwmt74'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=25309).
Очистите временные файлы IE через "Свойства обозревателя".
Сделайте новые логи.
Добавлено через 1 минуту
P.S. И еще папку C:\Documents and Settings\Malenkov_DS\Local Settings\Temp желательно очистить полностью.
Последний раз редактировалось Bratez; 25.06.2008 в 11:32. Причина: Добавлено
I am not young enough to know everything...
Все сделал, выложил новые логи.
Последний раз редактировалось Дмитрий_M; 04.07.2008 в 12:00.
Отключив интернет и антивирус, выполните такой скрипт:
Если что-то попадет в карантин - пришлите по правилам.Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); ClearQuarantine; QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll',''); DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Qvb84.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); BC_ImportDeletedList; BC_DeleteSvc('Qvb84'); BC_DeleteSvc('tcpsr'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите только лог syscheck (п.10 правил).
I am not young enough to know everything...
Доброе утро. Спасибо за оперативную помощь.
К сожалению не смог больше вчера зайти на ваш сайт.
Все сделал лог и карантин прилагаю.
Антивирус уже молчит.
Еще раз спасибо.
Извиняюсь, но карантин почему то не загружается в нем:
c:\Program Files\Internet Explorer\SETUPAPI.dll
причина карантина - скопирован МП
имя в карантине avz00001.dta
размер 29696
Последний раз редактировалось Дмитрий_M; 04.07.2008 в 12:00.
Скачайте Ice Sword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip,
распакуйте, запустите, нажмите слева внизу File, найдите
C:\WINDOWS\system32\Drivers\Qvb84.sys
нажмите правой кнопкой и выберите Force Delete.
Затем сразу же выполните скрипт в AVZ:
После перезагрузки сделайте еще раз лог syscheck.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\Drivers\Qvb84.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Qvb84.sys'); BC_DeleteSvc('Qvb84'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Все сделал.
Последний раз редактировалось Дмитрий_M; 04.07.2008 в 12:00.
Теперь чисто.
I am not young enough to know everything...
"Шайтан" да и только(в хорошем смысле)
Еще раз спасибо.
Уважаемый(ая) Дмитрий_M, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.