csrcs.exe [Trojan.Win32.Autoit.fj ]

Printable View

03.01.2009, 15:47
Игорь

csrcs.exe [Trojan.Win32.Autoit.fj ]

Известный троян, подцеплен с флешки. Логи высылаю.
03.01.2009, 15:54
light59

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Андрей\Application Data\ezpinst.exe','');
TerminateProcessByName('c:\windows.1\system32\csrcs.exe');
QuarantineFile('C:\WINDOWS.1\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS.1\system32\csrcs.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=36661"]http://virusinfo.info/upload_virus.php?tid=36661[/URL].

В AVZ -> файл-> Выполнить скрипт
[code]
begin
executeAVUpdate;
end.
[/code]

Повторите логи по правилам.
03.01.2009, 16:39
Игорь

К компу временно доступа нет.:wink_3:
А пока вопрос и доплнение:

В чем суть скрипта №2?:blink:

Накопал на стороне [url]http://forum.olympus.ru[/url] (аналогичный случай):
В редакторе реестра трой создаёт значение параметров
1) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run - "csrcs";
2) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" -"explorer.exe csrcs.exe";
3) трой создает еще одну свою копию в файле с случайным именем в папке %systemroot%\system32.
Пункты 1 и 2 имеют место на компе.:smile:
03.01.2009, 16:42
light59

Суть второго скрипта- это обновление баз AVZ. Обновлять нужно обязательно, в правилах это выделено.
Вы главное скрипт сделайте, а в реестре AVZ сам поковыряется.
03.01.2009, 17:04
Игорь

AVZ обновил, появится доступ к компу-выполню скрипты.
05.01.2009, 20:49
Игорь

Скрипт выполнил, логи выслал, карантин загружаю.
05.01.2009, 20:55
V_Bond

выполните скрипт
[code]
begin
DeleteFile('C:\System Volume Information\_restore{712C14F2-6A79-4F04-BEB7-B323778279EE}\RP0\A0005868.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
что с проблемами ?
05.01.2009, 21:41
Игорь

Видимых проблем нет, трой удалён, ключи реестра исправлены, скрытые файлы "khr" весом 0 Байт в корнях дисков, удалил вручную, после перезагрузки они не появились.:rolleyes:
Скрипт выполню завтра, когда появится доступ к компу.:wink_3:
06.01.2009, 23:04
Игорь

Скрипт выполнил, видимых проблем нет. Думаю тема закрыта.
Всем спасибо!:smile:
22.02.2009, 09:44
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows.1\\system32\\csrcs.exe - [B]Trojan.Win32.Autoit.fj[/B] (DrWEB: Win32.HLLW.Autoruner.666)[/LIST][/LIST]