Показано с 1 по 15 из 15.

Trojan-Spy.Win32.BZub.hk (заявка № 7645)

  1. #1
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    21
    Вес репутации
    64

    Exclamation Trojan-Spy.Win32.BZub.hk

    Здравствуйте. помогите избавить копм от вируса. одолел уже. касперский зараженный файл удаляет, а система его вновь создает.
    в правилах написанно, что нужно отключать восстановление системы на WinXP и Me. у меня win 2003 server, и я так понял, что там отключать не нужно.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    С вашего позволения, предложу чуть-чуть подправленный скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\dimsntfy.dll' ,'');
     DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\arm32.dll');
     DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    В программе Hijackthis, если останутся, пофиксить строчки:
    Код:
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)
    O2 - BHO: (no name) - {21384D29-1240-2d4f-A15C-17E42823D523} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
    После перезагрузки файлы из папки AVZ - Quarantine - сегодняшнее число
    залейте по правилам приложения 2
    Последний раз редактировалось anton_dr; 26.01.2007 в 06:26.

  4. #3
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    21
    Вес репутации
    64
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing) - такого файла не осталось. сделал добавление в карантин O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing) но папка Quarantine\дата - пуста ???

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Не осталось, и хорошо. Судя по логам, AVZ удалял его в ходе первой проверки. C:\WINDOWS\system32\ipv6monl.dll тоже не находится? Тогда пофиксите в hijackthis строки
    Код:
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)
    O2 - BHO: (no name) - {21384D29-1240-2d4f-A15C-17E42823D523} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
    и сделайте новые логи

  6. #5
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    21
    Вес репутации
    64
    и эти строки пофиксить не удалось, так как их нет в списке. прикрепляю сегодняшние логи.
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    >>>> Обнаружена маскировка процесса 44684 ?
    >>>> Обнаружена маскировка процесса 42964 ?
    >>>> Обнаружена маскировка процесса 43988 ?

    Не нравяться мне эти строчки в логе АВЗ. Может надо попробовать
    включить AVZPM и посмотреть, что он покажет. Пока подожди советов других хелперов.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Geser
    Guest
    Угу, включить AVZPM перегрузиться и повторить логи.

  9. #8
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    21
    Вес репутации
    64
    сделал. проверьте плз.
    Вложения Вложения

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Ничего плохого не вижу.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    27.01.2007
    Сообщений
    111
    Вес репутации
    63
    Строчку в файле HOSTS
    Код:
    192.168.11.104 test1.ru test2.ru
    Вы прописывали сами? Если да, то все Ок. Подтверждаю.

  12. #11
    Geser
    Guest
    Я не понял, в прошлом логе был КАВ, а в этом нет. Куда же он делся?

  13. #12
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    21
    Вес репутации
    64
    не вылечился. прогнал его каспером-то же самое. в папке Temp сидит троян. В Hosts прописывал сам, а насчет КАВ - не знаю ???
    на всякия случай сделал логи еще раз.
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Ничего не видно нового. Единственное, что, по-моему, не спрашивали еще: виден Radmin - его сами ставили?

  15. #14
    Geser
    Guest
    Браузер закрыть и удалить всё из Temp. Что не удалится удалить при помощи АВЗ, отложенным удалением

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    adm_tolik_in Возможно, Касперский находит трояна в почтовых базах TheBat! (есть ощущение, что "мыша" стоит на этом РС). Он не может его вылечить и поэтому надо искать сообщение в TheBat! и удалять ручками. Потом сжать фолдеры откуда удаляли письма.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) adm_tolik_in, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 18.07.2010, 01:09
    2. Ответов: 1
      Последнее сообщение: 30.06.2009, 08:47
    3. Проблема с trojan-spy.win32.bzub.btx
      От Mr. Grey в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 02:57
    4. Bzub
      От IIIaDoFF в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 02:07
    5. Не могу избавиться от Trojan-Spy.Win32.BZub.fm
      От Redeemer в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.04.2007, 18:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00554 seconds with 20 queries