Снова трояны

Printable View

23.10.2007, 04:39
Rogoff

Снова трояны

Стал странно работать интернет эксплорер. При открытии нового окна зависал. Др. Веб при полной проверке обнаруживает троянов. Самое интересное что пользователь работает с ограниченными правами и отключенными службами по советам книги про безопасность.
23.10.2007, 04:49
Muzzle

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\95E4~1\LOCALS~1\Temp\qwer.dll','');
DeleteFile('C:\DOCUME~1\95E4~1\LOCALS~1\Temp\qwer.dll');
BC_DeleteFile('C:\DOCUME~1\95E4~1\LOCALS~1\Temp\qwer.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=13438[/url]

Почистите временные файлы интернета и папку C:\Documents and Settings\Макс\Local Settings\Temp\

И что за [B]tcpip.sys[/B] у вас на рабочем столе?

Повторите логи.
23.10.2007, 06:20
Rogoff

скрипт выполнен, карантин загружен:

Файл сохранён как 071022_211823_virus_471d59ef67c1c.zip
Размер файла 25317
MD5 799b933eaddf909335ea1dcaa0cd3d2e

Файл [B]tcpip.sys [/B]остался на рабочем столе после прошлого лечения, видимо забыл его удалить.

Логи прилагаются.
23.10.2007, 09:51
Bratez

Пофиксите в HijackThis:
[code]
O2 - BHO: ShellEx_Str Class - {C666CF63-767F-4831-94AC-E683D962C63C} - C:\DOCUME~1\95E4~1\LOCALS~1\Temp\qwer.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
[/code]
Пришлите по правилам файл
C:\windows\system32\drivers\ndis.sys
24.10.2007, 10:29
Rogoff

строки пофиксил, файл закачал

Файл сохранён как 071024_012815_virus_471ee5ff8fc54.zip
Размер файла 104747
MD5 50e6e2b57eea04ecbc9bd39ebc8941f8
24.10.2007, 15:02
Bratez

Есть подозрения на патч ndis.sys, отправил в ЛК, ждем вердикта.
24.10.2007, 15:16
Shu_b

[QUOTE=Bratez;144623]Есть подозрения на патч ndis.sys, отправил в ЛК, ждем вердикта.[/QUOTE]

ответ уже был [QUOTE]....t=13438 [KLAB-3155904]
Вредоносный код в файле не обнаружен.[/QUOTE]
25.10.2007, 04:27
Muzzle

[B]qwer.dll [/B]- [COLOR="Blue"]Trojan-PSW.Win32.Delf.af[/COLOR]t (свеженький по Касперскому)

Его мы удалили,больше ничего подозрительного не видно.

Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Удачи!