трояны

Printable View

19.07.2007, 18:35
zimoy

трояны

похоже недолечил..
посмотрите плз.
спасибо
19.07.2007, 19:16
AndreyKa

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
ClearQuarantine;
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
DelWinlogonNotifyByFileName('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
SysCleanAddFile('C:\WINDOWS\system32\nmxd.dll');
SysCleanAddFile('C:\WINDOWS\system32\rpcc.exe');
SysCleanAddFile('h.exe');
ExecuteSysClean;
BC_QrFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите файл 'quarantine.zip' из папки AVZ по ссылке [url]http://virusinfo.info/upload_virus.php?tid=11173[/url]
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к вашей теме.
19.07.2007, 20:19
zimoy

спасибо,
'quarantine.zip' отправил
19.07.2007, 23:04
AndreyKa

C:\Documents and Settings\All Users\Документы\Settings\partnership.dll - BackDoor.Uragan.origin

[url=http://virusinfo.info/showthread.php?t=4491]Пофиксте[/url] в HijackThis следующие строки:
[quote]
O8 - Extra context menu item: IpIs Расположение - C:\WINDOWS\system32\ie1.dll.htm
O9 - Extra button: Расположение - {A3671F3B-75EF-465d-B13C-42A8B9E4238C} - C:\Program Files\Ipis\ip_is.exe (file missing)
O9 - Extra 'Tools' menuitem: Расположение - {A3671F3B-75EF-465d-B13C-42A8B9E4238C} - C:\Program Files\Ipis\ip_is.exe (file missing)
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
[/quote]
Перезагрузите компьютер и повторите лог HijackThis.
20.07.2007, 00:11
zimoy

пофиксил
20.07.2007, 01:09
AndreyKa

[QUOTE=zimoy;123768]пофиксил[/QUOTE]
По-моему чисто.
Проблем нет никаких?
20.07.2007, 09:59
zimoy

да, похоже чисто, спасибо за помощь
21.07.2007, 08:20
zimoy

[quote=AndreyKa;123777]По-моему чисто.
Проблем нет никаких?[/quote]

похоже остался Win32:Small-GVV [Trj]..
21.07.2007, 09:33
drongo

Вот эти можно запаковать в zip с паролем virus
и прислать по ссылке в шапке, а самих удалить.
C:\WINDOWS\system32\KB74612931.exe
C:\WINDOWS\system32\KB83647438.exe
C:\WINDOWS\Temp\_avast4_\unp243326657.tmp
C:\RECYCLER\S-1-5-21-1292428093-2077806209-725345543-1003\Dc1\OpenGL\kr_opengl\Chapter4\Ex15\ColorMat.exe

Вот эти на всякий случай посмотреть, довольно странно что их два.Должен быть один, если мне не изменяет память:
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\rundll32.exe
21.07.2007, 10:12
zimoy

[quote=drongo;123968]Вот эти можно запаковать в zip с паролем virus
и прислать по ссылке в шапке, а самих удалить.
C:\WINDOWS\system32\KB74612931.exe
C:\WINDOWS\system32\KB83647438.exe
C:\WINDOWS\Temp\_avast4_\unp243326657.tmp
C:\RECYCLER\S-1-5-21-1292428093-2077806209-725345543-1003\Dc1\OpenGL\kr_opengl\Chapter4\Ex15\ColorMat.exe

Вот эти на всякий случай посмотреть, довольно странно что их два.Должен быть один, если мне не изменяет память:
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\rundll32.exe[/quote]

выслал и удалил, unp243326657.tmp не нашел, думаю его удалил avast!
что-то делать с RunDLL32.exe и rundll32.exe? они вроде чистые..
21.07.2007, 11:28
AndreyKa

KB74612931.exe, KB83647438 - Trojan.Qhost.45065

[QUOTE='zimoy;123963']похоже остался Win32:Small-GVV [Trj]..[/QUOTE]
Где остался, в каком файле?