Помогите, пожалуйста, победить трояна. Откуда взялся - сам не понимаю! Все инструкции выполнил. Скрипты в приложении. Спасибо.
Printable View
Помогите, пожалуйста, победить трояна. Откуда взялся - сам не понимаю! Все инструкции выполнил. Скрипты в приложении. Спасибо.
Вот такой набор. Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('00000C1D.sys','');
QuarantineFile('C:\WINDOWS\system32\mmmiweiw.dll','');
DeleteFile('C:\WINDOWS\system32\mmmiweiw.dll');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Прислать новые логи.
Загрузить карантин по Правилам.
Спасибо! Все выполнил. Логи высылаю. Карантин выслал.
Установите AVZPM и повторите логи AVZ...
'C:\WINDOWS\system32\mmmiweiw.dll' - Backdoor.Win32.Agent.acrj
Выполнить:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\digeste.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODe]
Сделать логи AVZ.
Высылаю логи. Спасибо
Вот это было удалено:
cssrss.exe_ - Trojan.Win32.Agent2.xn,
digeste.dll - Trojan.Win32.Inject.nxt
Детектирование файлов будет добавлено в следующее обновление.
mmmiweiw.dll - Backdoor.Win32.Agent.acrj,
services.exe_ - Email-Worm.Win32.Joleee.er
Эти файлы определяются антивирусом. Обновите антивирусные базы
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Остаток дочистим:
[CODE]begin
DeleteFile('c:\windows\system32\digeste.dll');
ExecuteSysClean;
end.[/CODE]
Пункт 2 диагностики повторите.
Доочистку выполнил. Высылаю логи. Спасибо!
Еще раз.
digeste.dll - придется искать руками через AVZ и удалять. Не хочет она уходить.
Еще вот это поищи: load1.exe
Поищи через AVZ '00000C48.sys' Если найдется, то положи в карантин и пришли.
digeste.dll, load1.exe, '00000C48.sys' через AVZ не обнаруживаются. Что делать?
[size="1"][color="#666686"][B][I]Добавлено через 47 минут[/I][/B][/color][/size]
Есть только файлы:
'c:\windows\system32\digest.dll'
'c:\windows\system32\dllcache\digest.dll'
(без 'е'),
но в карантин скопировать их у меня не получается.
Жду инструкций.
при помощи Gmer лог сделай.
[size="1"][color="#666686"][B][I]Добавлено через 32 минуты[/I][/B][/color][/size]
Выполнить и повторить логи AVZ.
[CODE]
begin
SetAVZPMstatus(true);
RebootWindows(true);
end.
[/CODE]
Выполнил. Высылаю повторенные логи AVZ.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\sysprep\factory.exe','');
QuarantineFile('C:\Documents and Settings\Oleh\Oleh.exe','');
DeleteService('securentm');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\mjmqgq.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\00000AFD.sys');
DeleteFile('\??\C:\WINDOWS\system32\drivers\mjmqgq.sys');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\Documents and Settings\Oleh\Oleh.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\mmmfrzfr.dll');
DeleteFile('digeste.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('securentm');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин по правилам и повторите логи...
Скрипт выполнил. Карантин выслал. Высылаю логи.
Большое спасибо!
в AVZ
[code]
begin
BC_DeleteSvc('port135sik');
BC_DeleteSvc('lpvqflpd');
BC_Activate;
RebootWindows(true);
end.[/code]
Посмотрите этот файлик C:\sysprep\[B]factory.exe[/B]. Если он есть, то заахривируйте его с паролей virus и пришлите по правилам.
Логи повторите + лог HiJackThis сделайте.
Скрипт выполнил. Файл C:\sysprep\[B]factory.exe[/B] у себя на компьютере не обнаружил.
Высылаю логи и [URL="http://virusinfo.info/attachment.php?attachmentid=105622&stc=1&d=1232804345"][COLOR=#0532aa]hijackthis.log[/COLOR][/URL].
Спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\oleh\\oleh.exe - [B]Trojan-Downloader.Win32.Agent.befd[/B] (DrWEB: Trojan.DownLoad.23598)[*] c:\\windows\\services.exe - [B]Email-Worm.Win32.Joleee.er[/B][*] c:\\windows\\system32\\cssrss.exe - [B]Trojan.Win32.Agent2.xn[/B][*] c:\\windows\\system32\\digeste.dll - [B]Trojan.Win32.Inject.nxt[/B][*] c:\\windows\\system32\\drivers\\mjmqgq.sys - [B]Rootkit.Win32.Agent.grs[/B][*] c:\\windows\\system32\\mmmiweiw.dll - [B]Backdoor.Win32.Agent.acrj[/B] (DrWEB: Trojan.Click.origin)[/LIST][/LIST]