Добрый день.
Сегодня поймал нехорошего трояна.
Касперский пишет что [B]winlogon.exe[/B] заражен [B]TroJan-Proxy.win32.small.np[/B] и неизлечим.
Наблюдается постоянная отдача по инету.
Вложения приложил.
Прошу о помощи.
Заранее Благодарен.
Printable View
Добрый день.
Сегодня поймал нехорошего трояна.
Касперский пишет что [B]winlogon.exe[/B] заражен [B]TroJan-Proxy.win32.small.np[/B] и неизлечим.
Наблюдается постоянная отдача по инету.
Вложения приложил.
Прошу о помощи.
Заранее Благодарен.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Qvb84');
SetServiceStart('Qvb84', 4);
StopService('Lwmt74');
SetServiceStart('Lwmt74', 4);
QuarantineFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temporary Internet Files\Content.IE5\YQITL9S2\1[1].exe','');
QuarantineFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temporary Internet Files\Content.IE5\BV55P9PM\xloader[1].exe','');
QuarantineFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temp\~g1.tmp','');
QuarantineFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temp\2\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\tmp_b.dll','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Qvb84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lwmt74.SYS','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\wininet.exe','');
QuarantineFile('C:\DOCUME~1\MALENK~1\LOCALS~1\Temp\D87.tmp','');
DeleteFile('C:\DOCUME~1\MALENK~1\LOCALS~1\Temp\D87.tmp');
DeleteFile('C:\WINDOWS\system32\wininet.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Lwmt74.SYS');
DeleteFile('C:\WINDOWS\System32\drivers\Qvb84.sys');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\WINDOWS\system32\tmp_b.dll');
DeleteFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temp\2\svchost.exe');
DeleteFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temp\~g1.tmp');
DeleteFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temporary Internet Files\Content.IE5\BV55P9PM\xloader[1].exe');
DeleteFile('C:\Documents and Settings\Malenkov_DS\Local Settings\Temporary Internet Files\Content.IE5\YQITL9S2\1[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Qvb84');
BC_DeleteSvc('Lwmt74');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=25309[/url]).
Очистите временные файлы IE через "Свойства обозревателя".
Сделайте новые логи.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
P.S. И еще папку C:\Documents and Settings\Malenkov_DS\Local Settings\Temp желательно очистить полностью.
Все сделал, выложил новые логи.
Отключив интернет и антивирус, выполните такой скрипт:
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
ClearQuarantine;
QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Qvb84.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Qvb84');
BC_DeleteSvc('tcpsr');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Если что-то попадет в карантин - пришлите по правилам.
Повторите только лог syscheck (п.10 правил).
Доброе утро. Спасибо за оперативную помощь.
К сожалению не смог больше вчера зайти на ваш сайт.
Все сделал лог и карантин прилагаю.
Антивирус уже молчит.
Еще раз спасибо.
Извиняюсь, но карантин почему то не загружается в нем:
c:\Program Files\Internet Explorer\SETUPAPI.dll
причина карантина - скопирован МП
имя в карантине avz00001.dta
размер 29696
Скачайте Ice Sword: [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url],
распакуйте, запустите, нажмите слева внизу File, найдите
[b]C:\WINDOWS\system32\Drivers\Qvb84.sys[/b]
нажмите правой кнопкой и выберите Force Delete.
Затем сразу же выполните скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\Qvb84.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Qvb84.sys');
BC_DeleteSvc('Qvb84');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте еще раз лог syscheck.
Все сделал.
Теперь чисто.
"Шайтан" да и только(в хорошем смысле):O
Еще раз спасибо.