Trojan.Horse

Printable View

04.12.2007, 13:09
Zhigich_bass

Вложений: 3

Trojan.Horse

NAV находит, но не лечит... Шлю логи...
04.12.2007, 13:13
Bratez

Кое-что AVZ уже удалил. Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\GPCIDrv.sys','');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KHM3CD27\inst213[1].exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
04.12.2007, 13:17
PavelA

Пинч был удален!! Надо будет менять пароли!!!
04.12.2007, 13:27
Zhigich_bass

Пароль на инет?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Карантин послал
04.12.2007, 13:36
MedvedD

Пароли на форумы, сайты, ресурсы, ФТП, Аську, почту.. Версии Пинча бывают разные, воровать они умеют много чего.
04.12.2007, 13:38
Bratez

Файл в карантине чистый.
Просмотрел еще раз первый лог, кое-что еще увидел.
Выполните такой скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\update125.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\01234567\2209[1].exe','');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\01234567\2209[1].exe');
DeleteFile('C:\WINDOWS\system32\update125.exe');
BC_ImportALL;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте новые логи
и пришлите свежий карантин по правилам.
04.12.2007, 14:15
Zhigich_bass

Вложений: 3

Логи шлю, а карантин - пустой...
04.12.2007, 14:19
Bratez

Больше ничего подозрительного не видно.
Рекомендуется отключить все что вам не нужно из этого:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
04.12.2007, 14:25
Zhigich_bass

Спасибо!
22.02.2009, 02:57
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]