Trojan

Printable View

24.10.2007, 12:27
ghostil

Trojan

SAV выводит сообщение о нахождении трояна. Посмотрите, пожалуйста, логи.
24.10.2007, 14:20
PavelA

Выполнить:
[CODE]begin
BC_QrFile('d:\windows\system32\wupdsvc1.exe');
BC_QrFile('d:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('d:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_QrFile('d:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('d:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('d:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('d:\windows\system32\wupdsvc1.exe');
BC_DeleteFile('d:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

Загрузить карантин.

Сделать новые логи.
25.10.2007, 11:11
ghostil

он мне пишет:"Too many actual parameters в позиции 2:11"

[size="1"][color="#666686"][B][I]Добавлено через 43 минуты[/I][/B][/color][/size]

поэтому не могу выполнить данный скрипт
25.10.2007, 11:17
drongo

поправил и проверил, ошибок нет
25.10.2007, 11:20
ghostil

теперь стали рассылаться письма с этого компьютера!:-(

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

а у меня не идёт. Не знаете, с чем это может быть связано?
25.10.2007, 11:27
PavelA

Карантина не прислал, логи не сделал.

Не знаем, что сейчас творится у Вас.
25.10.2007, 11:27
ghostil

так я же не могу указанный Вами скрипт сделать!Он мне ошибку выдаёт. Я тогда сейчас сделаю логи заново и пришлю карантин.
25.10.2007, 11:32
PavelA

Скрипт поправил Drongo. Извини, ошибочка вкралась.
Нужно его выполнить, а потом логи делать.
25.10.2007, 13:29
ghostil

вот выкладываю новые логи.
25.10.2007, 13:30
ghostil

закачал карантин
25.10.2007, 13:34
PavelA

продолжим:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('d:\temp\winlogon.exe','');
DeleteFile('d:\temp\winlogon.exe');
BC_DeleteFile('d:\temp\winlogon.exe');
DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Прислать новый карантин.

Сделать еще раз логи.
25.10.2007, 14:03
ghostil

карантин закачала, сейчас логи выполняю!
25.10.2007, 14:28
PavelA

Trojan-Proxy.Win32.Small.gw (по Касперскому) удалили.
25.10.2007, 14:32
ghostil

Отлично!Вот новые логи!
25.10.2007, 15:02
PavelA

AVZPM надо установить. Перезагрузиться и сделать лог из п.8. Будем смотреть кто прячется.
26.10.2007, 16:26
ghostil

вот установил AVZPM. Посмотрите, пожалуйста, новые логи!:)
26.10.2007, 16:40
Bratez

Все у вас в порядке.

Осталось для профилактики отключить ненужное из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
26.10.2007, 16:46
PavelA

И отключить AVZPM.
26.10.2007, 17:02
ghostil

спасибо огромное!:-)