Одолели трояны

Printable View

28.03.2009, 13:47
Арти

Вложений: 3

Одолели трояны

В компьютер постоянно пролезают трояны (разного типа), заражают системные файлы, антивирус их отлавливает, перезагрузка и они опять проявляются.
Порой компьютер зависает, замечена нестабильная работа межсетевого экрана (пришлось удалить).
Логи прилагаются.
28.03.2009, 14:30
AndreyKa

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\System32\TuneUpDefragService.exe','');
DeleteFile('digeste.dll');
SysCleanAddFile('C:\PROGRA~1\Agnitum\Outpost Firewall Pro\op_mon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
28.03.2009, 21:15
Арти

Вложений: 1

Выполнено, карантин выслан.
28.03.2009, 22:52
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('MSNETDED');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('c:\windows\system\svhost.exe','');
TerminateProcessByName('c:\windows\system\svhost.exe');
QuarantineFile('c:\windows\system\services.exe','');
TerminateProcessByName('c:\windows\system\services.exe');
DeleteFile('c:\windows\system\services.exe');
DeleteFile('c:\windows\system\svhost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
29.03.2009, 10:18
Арти

Вложений: 3

Скрипт выполнен.
Карантин выслан.
Логи прилагаются.
29.03.2009, 12:53
Арти

Уважаемые помошники.
Обнаружились следующие проявления троянов: через 3-5 минут после загрузки ОС выскакивает запись что svchost пыталось выполнить недопустимую оерацию, после этого операционная система зависает за исключением активного приложения (предположение что зависает explorer).
Может быть есть смысл переустановить ОС так как результат лечения неясен а к понедельнику хотелось бы иметь рабочий компьютер?
29.03.2009, 14:11
Гриша

Очистите временные папки, кеш браузера!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('sysdrv32');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OD6705UR\cntp[1].exe');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('sysdrv32');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделайте полную проверку AVPTool и повторите логи...
29.03.2009, 15:36
Арти

Вложений: 3

выполнен скрипт
на перезагрузке завис, помог Reset
запущен АВП, найдены BackDoor.IRC.Itan , Tool.TcpZ
созданы лог файлы, найден Net-Worm.Win32.Kolab.bzd

Жду дальнейших указаний
29.03.2009, 17:03
Гриша

Установите AVZPM и повторите логи...
29.03.2009, 18:07
Арти

Вложений: 3

Установлен Agnitum Outpost Pro 2009
Установлен драйвер AVZPM
Сняты логи
29.03.2009, 18:20
V_Bond

[QUOTE]заражают системные файлы[/QUOTE]
вот об этом подробнее .... (лучше лог антивируса)
29.03.2009, 20:10
Арти

[QUOTE=V_Bond;379566]вот об этом подробнее .... (лучше лог антивируса)[/QUOTE]

К сожалению невозможно, в горячке логи были удалены вместе с фаерволом и антивирусом
29.03.2009, 22:58
AndreyKa

В логах чисто.
Установите надежные пароли на учетные записи пользователей с правами администратора.
Установите обновления безопасности на Windows.
30.03.2009, 00:33
Арти

[QUOTE=AndreyKa;379724]В логах чисто.
Установите надежные пароли на учетные записи пользователей с правами администратора.
Установите обновления безопасности на Windows.[/QUOTE]

Всем спасибо за помощь!
Вопрос (если в тему): как можно обновить не совсем лицензионную винду?
30.03.2009, 01:43
pig

Нет, варез здесь совсем не в тему.
30.03.2009, 19:41
Арти

Всем спасибо, тема закрыта
31.03.2009, 19:41
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system\services.exe - [B]Trojan.Win32.Buzus.aspx[/B] ( DrWEB: BackDoor.IRC.Itan, BitDefender: Trojan.Crypt.DA )[*] c:\windows\system\svhost.exe - [B]Net-Worm.Win32.Kolab.cbk[/B] ( DrWEB: BackDoor.IRC.Itan, BitDefender: Dropped:Trojan.Agent.ALRI )[*] c:\windows\system32\drivers\sysdrv32.sys - [B]Worm.Win32.AutoRun.ezt[/B] ( BitDefender: Trojan.Agent.ALRI )[/LIST][/LIST]