схватил троянов

Printable View

29.09.2008, 00:11
doby

Вложений: 3

схватил троянов

Здравствуйте,

залез на варезный сайт и поймал троянов - КИС 6 ругнулся на эксешник и несколько sys файлов, все что можно удалил, но какой то лоадер прописался и после загрузки КИС снова ругается на различные .tmp .sys файлы, после вырезания до перезагрузки обычно тихо, сканирование ничего не дало
да, затянул на несколько дней, понадеялся на касперыча, теперь еще при загрузке ругается на winlogon, что мол пытается внедриться в другой процесс, запрещаю
еще, когда отключал сеть/инет при загрузке КИС молчал, потом дал сеть, через минуту та же свинья

выкладываю логи, только вот не совсем понял касперского только на первый тест выключать или на все (выключил только при первом, если надо переделаю)
помогите, люди добрые, спасибо за то что вы есть :)
29.09.2008, 00:16
doby

да, забыл сказать что троян семейства mutant.aim и еще какой то mutant
29.09.2008, 00:17
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\fiddrv.sys','');
BC_DeleteSvc('wscsvcEventlog');
BC_DeleteSvc('srservicePnkBstrA');
BC_DeleteSvc('SNMPIprip');
BC_DeleteSvc('SimpTcpLmHosts');
BC_DeleteSvc('SimpTcpAlerter');
BC_DeleteSvc('ShellHWDetectionProtectedStorage');
BC_DeleteSvc('RasManLmHosts');
BC_DeleteSvc('p2psvcVSS');
BC_DeleteSvc('NlaWZCSVC');
BC_DeleteSvc('AudioSrvseclogon');
BC_DeleteSvc('AudioSrvLmHosts');
QuarantineFile('C:\WINDOWS\System32\Drivers\nnkey.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
29.09.2008, 01:07
doby

Вложений: 3

большое спасибо, очень оперативно :)
симптомы исчезли, буду следить
карантин выслал, вот новые логи
29.09.2008, 01:11
doby

да, кстати хотел добавить, что служба и процесс srservicePnkBstrA (процессов кстати 2: А и В) - они от игры CounterStrike - так сказать следят за тем чтобы не читили... я с ними уже 2 года живу, но все равно удалил, редко играю

еще раз спасибо :)
29.09.2008, 01:42
Синауридзе Александр

Ничего зловредного в логах нет.

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]

[QUOTE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\[/QUOTE]
22.02.2009, 08:19
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]