Борьба с Trojan.Proxy

Printable View

26.07.2007, 14:29
Vovan07

Борьба с Trojan.Proxy

Добрый день!
Началось с того, что НОД32 стал фиксировать c:\windows\system32\perfc000.dat.
Сначала я подключил диск к другой машине и проверил его с помощью CureIT, кот-й нашел и почистил 5 вирусов, затем НОДом32.
Затем вернул диск на место и выполнил все действия согласно правилам.
Итог: AVZ пишет в логе:
"C:\System Volume Information\_restore{264BEBDE-3493-49B8-A1DF-9391D58B3E0C}\RP23\A0007658.exe >>> подозрение на Trojan-Spy.Win32.BZub.jg ( 0A377B16 0EB65D4B 001E4542 002DC9BD 99032)
C:\System Volume Information\_restore{264BEBDE-3493-49B8-A1DF-9391D58B3E0C}\RP23\A0007660.exe >>> подозрение на Trojan-Spy.Win32.BZub.jg ( 0A377B16 0EB65D4B 001E4542 002DC9BD 99032)"

Как убрать? Спасибо.
26.07.2007, 14:50
Rene-gad

@Vovan07
[QUOTE]Затем .... выполнил все действия согласно правилам.[/QUOTE]
не все ;). Судя по детекту АВЗ
[QUOTE]C:\System Volume Information\_restore...[/QUOTE]
Вы не выполнили пункт 7 правил:
[QUOTE]7. Отключите восстановление системы (Windows Me/XP).[/QUOTE]
26.07.2007, 15:26
Vovan07

Вообще птичка стояла. Но я для верности влючил, затем отключил.
Логи все сделаны заново.
26.07.2007, 15:28
Vovan07

Извините, досылаю лог.
26.07.2007, 16:17
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\cnab4rpk.exe','');
QuarantineFile('so1.dll','');
QuarantineFile('C:\WINDOWS\system32\ipv6mons.dll','');
QuarantineFile('C:\WINDOWS\system32\ipv6monk.dll','');
DeleteFile('C:\WINDOWS\system32\ipv6monk.dll');
DeleteFile('C:\WINDOWS\system32\ipv6mons.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложению 3 правил ....
26.07.2007, 16:41
Vovan07

Карантин выслал
26.07.2007, 17:24
V_Bond

ipv6monk.dll -Trojan-Spy.Win32.BZub.if
ipv6mons - Trojan-Spy.Win32.BZub.if смените пароли ... так как трой похищает их значения из полей ввода ...
so1.dll попробуйте найти при помощи AVZ -поиск файлов на диске ...
и повторите логи...
26.07.2007, 17:56
Vovan07

"so1.dll попробуйте найти при помощи AVZ -поиск файлов на диске ..." - не находится... Пробовал поиск по разным маскам.
Логи высылаю.
26.07.2007, 19:40
V_Bond

профиксите
[code]
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monk.dll (file missing)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll (file missing)
O2 - BHO: H - {C80FA185-0C28-4806-BA80-3467E02E587F} - so1.dll (file missing)
[/code]
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ipv6monk.dll');
DeleteFile('C:\WINDOWS\system32\ipv6mons.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
..еще вопрос [B]Remote Administrator [/B] сами устанавливали ?
27.07.2007, 09:19
Vovan07

Выполнил все. Логи высылылаю. Remote Administrator устанавливал я.
27.07.2007, 09:21
Vovan07

Извините, логи вдогонку.
27.07.2007, 09:23
Vovan07

Еще раз извините
27.07.2007, 09:33
V_Bond

в логах ничего вредного не замечено... если проблемы исчезли то лечение можно считать законченым ...
Вы можете нас отблагодарить, [url]http://www.virusinfo.info/showthread.php?t=3519[/url] будем Вам очень благодарны!
27.07.2007, 11:24
Vovan07

Большое спасибо за помощь. Вашу просьбу выполню.

[size="1"][color="#666686"][B]Добавлено через 1 час 41 минуту[/B][/color][/size]
Совсем забыл!
Восстановление системы включать?
И как же в вирусами, кот-е изначально обнаруживались в System Volume Information?
27.07.2007, 11:28
drongo

[QUOTE='Vovan07;125088']И как же в вирусами, кот-е изначально обнаруживались в System Volume Information?[/QUOTE]A никак, при отключении всё там стирается вместе с вирусами.Можно включить заново system restore, однако советую пользоваться сторонними разработками, так как данная система очень редко срабатывает как надо и когда надо.Mне нравиться програмка от акронис.
Советую отключить лишние сервисы, и компьютеру ресурсов больше и дырок меньше:
[code]
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
[/code]

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
27.07.2007, 11:35
Vovan07

Спасибо.