Трояны

Printable View

Показывать 40 сообщений этой темы на одной странице

20.12.2007, 14:20
betsy

Вложений: 3

Трояны

Сотрудница "сидела" за моим компьютером, на следующий день AVG Free Edition выдаёт мне целое "стадо лошадей".Огромная просьба помочь.
20.12.2007, 16:33
drongo

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Dokumente und Einstellungen\All Users\Startmenь\Programme\Autostart\tempweg.bat','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\Programme\Internet Explorer\Plugins\NPUPano.dll','');
BC_Activate;
RebootWindows(true);
end.
[/code]

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=15494[/url]

[size="1"][color="#666686"][B][I]Добавлено через 1 час 49 минут[/I][/B][/color][/size]

tempweg.bat- не попал в карантин, поищите пожалуйста в ручном режиме. Пункт 2 правил
20.12.2007, 16:45
betsy

Делаю всё,как описано в Правилах,но при просмотре Карантина файл tempweg.bat не видно.
20.12.2007, 16:57
rubin

Вы его не в карантине ищите, а на компьютере: Сервис - Поиск файлов на диске
20.12.2007, 17:05
betsy

Найти его не проблема.Как его в каратин "засунуть"?
20.12.2007, 17:10
V_Bond

не проблема .... особенно если искать через AVZ ....
20.12.2007, 17:11
Макcим

[url]http://virusinfo.info/showthread.php?t=4567[/url]
20.12.2007, 17:14
drongo

secdrv.sys тоже заодно ;)
Можно просто запаковать копии в zip архив с паролем virus, это аналогично карантину avz ;)
20.12.2007, 17:23
betsy

Посылаю,всё что нашла.Напишите получили или нет.Что-то не вижу,что загрузила их.
20.12.2007, 17:35
drongo

betsy , Получили, больше посылать копий не надо ;)
ребята, вот что в батнике . нихт ферштейн ;) но пойму чистит временные файлы
[code]@echo off
REM lצschen des temp verzeichnisses 2000/xp
REM plus unterverzeichnisse ohne nachfrage
rd %temp% /s /q
REM neues temp verzeichnis erzeugen
md %temp[/code]
20.12.2007, 17:42
betsy

батник удаляет temp-папку (или как это по-русски называется???) и создаёт тут же новую.не пугаемся,помогаем пожалуйста дальше :tongue:
20.12.2007, 17:49
drongo

осталось подождать вердикта лаба , сделайте пока новые логи , посмотрим точно удалился ли ваш троян Trojan.Win32.Small.ut
20.12.2007, 17:53
betsy

Пожалуйста для тех,кто на бронепоезде,то есть для меня поясните,"сделать ещё раз логи"-повторить все эти процедуры описанные в правилах с п.1 по п.14. и выслать файлы вам?
20.12.2007, 17:57
Bratez

с п.8 по 13 и приложить к сообщению
20.12.2007, 17:58
drongo

В общем да ;)сделать те же файлы (только новые) и прикрепить так же как в первом вашем сообщении, присылать не надо, только прикрепить.
21.12.2007, 10:37
betsy

Вложений: 3

Доброе утро,день,вечер!(нужное подчеркнуть)
Сделала новые логи.Жду дальнейших распоряжений.
21.12.2007, 10:58
drongo

мда, или вы не отключили ваш антивирус перед выполнением скрипта, или в авз баг с удалением сервиса трояна ;)
Значит так , попробуйте вот этот скрипт и новые логи сделать(после него ).
[code]
begin
BC_QrFile('C:\lich.sys');
BC_QrFile('C:\lich.exe');
BC_DeleteFile('C:\lich.sys');
BC_DeleteFile('C:\lich.exe');
BC_DeleteSvc('ZZZdrv_lich');
BC_Activate;
RebootWindows(true);
end.
[/code]
21.12.2007, 11:37
betsy

Вложений: 3

Скрипт запустила.Логи сделала.
21.12.2007, 12:15
drongo

Запустить HijackThis.
2. Нажать кнопку Open The Misc Tools section
3. Нажать кнопку Delete an NT Service
4. В открывшемся диалоге ввести название службы:
ZZZsvc_lich
5.Нажать кнопку OK
P.S. Перегрузиться не помешает

Обратиться к местному админу, что из этого используеться- остальное отключим.
Services: potentially dangerous service allowed RemoteRegistry (Remote-Registrierung)
>> Services: potentially dangerous service allowed TermService (Terminaldienste)
>> Services: potentially dangerous service allowed SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed Schedule (Taskplaner)
>> Services: potentially dangerous service allowed mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed RDSessMgr (Sitzungs-Manager f?r Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled

Не сидеть под админом, только под ограниченным юзером- тогда такого бы не было- просто троян не смог бы установиться.
Кстати, AVG его не знает, если хотите - нужно отослать разработчикам- он у вас в архиве должен быть.
Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url]это позволяют делать в отличии от IE 7 ,6....)
21.12.2007, 13:00
betsy

Делаю всё как сказали,но выдаёт сделующее:
"The service `ZZZsvc_lich` is enabled and/or running.Disabled it first,using HiiackThis it self (from the scan results) or the Services.msc window"

Показывать 40 сообщений этой темы на одной странице