Возможны трояны...

Printable View

26.07.2009, 09:51
Gizmos

Вложений: 3

Возможны трояны...

Здравствуйте как и обещал проверить второй компьютер...
вообщем в ходе проверки др.вебом нашлось оч много троянов но вроде он их всех излечил так что на всякий случай посмотрите мож что осталось...
прикладываю логи
26.07.2009, 10:54
AndreyKa

[QUOTE='Gizmos;437887']в ходе проверки др.вебом нашлось оч много троянов [/QUOTE]
Ничего удивительного: XP Service Pack 1

Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
ExecuteRepair(16);
QuarantineFile('C:\WINDOWS1\System32\explorer.exe','');
QuarantineFile('C:\WINDOWS1\System32\firewall.exe','');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
QuarantineFile('upds.exe','');
QuarantineFile('C:\WINDOWS1\System32\spooIsv.exe','');
QuarantineFile('C:\WINDOWS1\System32\avesta.exe','');
DeleteFile('avelta.exe');
DeleteFile('C:\WINDOWS1\System32\spooIsv.exe');
DeleteFile('upds.exe');
DeleteFile('C:\WINDOWS1\System32\explorer.exe');
DeleteFile('C:\WINDOWS1\System32\firewall.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
[b]Обновите базы AVZ[/b].
Сделайте новые логи и приложите к этой теме.

Устанавлите [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] (может потребоваться активация).
Установите обновления безопасности на Windows.
26.07.2009, 12:04
Gizmos

а можно обойтись без установки сп3?
26.07.2009, 12:10
AndreyKa

Да, можно перейти на Linux ;)
26.07.2009, 14:12
Gizmos

Вложений: 3

отправил логи счяс отправлю карантин
26.07.2009, 14:20
Gizmos

жду дальнейших указаний=)
26.07.2009, 14:24
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\RECYCLER\S-1-5-21-1161271534-5468502080-486570401-6292\winmap.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1161271534-5468502080-486570401-6292\winmap.exe');
DeleteFile('C:\WINDOWS1\System32\avesta.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.

Повторите п.2 Диагностики.
Сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
26.07.2009, 17:45
Gizmos

Вложений: 2

Если я все правильно понял и сделал то вам нужен только сис чек и гмер отсылаю
в карантине пусто=(
я что то не так сделал?
а гмер пипец какой долгий я чуть не уснул =(
26.07.2009, 17:59
Bratez

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS1\System32\rsgcb.dll','');
DeleteFile('C:\WINDOWS1\System32\rsgcb.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Reset 5');
BC_DeleteSvc('CSNetManagerXp');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.

Сохраните следующий код в виде файла runme.bat и поместите в папку с gmer:
[code]
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\afgjgru"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\afgjgru"
gmer.exe -reboot[/code]
Запустите этот файл.
Компьютер перезагрузится.

Два последних лога придется сделать еще раз.
26.07.2009, 19:31
Gizmos

Вложений: 2

фух все сделал просто отключил в гмере отключил файлы
и быстро прошло...
26.07.2009, 20:56
AndreyKa

Проблема из-за которой обратились на форум решена?
26.07.2009, 21:05
Gizmos

ну я честно говоря незнаю=)
лучше будет наверно если человек который попросил логи сам мне скажет решена ли моя проблема=)
точнее все проблемы которые там были=)
26.07.2009, 22:06
Rene-gad

[QUOTE=Gizmos;438104]ну я честно говоря не знаю=)[/QUOTE]Честно говоря, кроме Вас определить это тут некому.
27.07.2009, 03:00
Bratez

syscheck старый прикрепили?
В логе gmer все хорошо.
27.07.2009, 07:58
Gizmos

Нет сисчек другой новый размеры ж даж разные=)
27.07.2009, 09:06
Bratez

Размеры разные, а содержание не согласуется с гмеровским, как будто его делали еще до выполнения скрипта в сообщ.#9. Ну да ладно, активной заразы там все равно нет. Обновляйте систему срочно, иначе скоро опять встретимся.
27.07.2009, 12:23
Gizmos

Cпасибо за помощь=)
28.07.2009, 12:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows1\system32\avesta.exe - [B]Net-Worm.Win32.Kolab.ddl[/B] ( DrWEB: Win32.HLLW.MyBot )[*] c:\windows1\system32\firewall.exe - [B]Virus.Win32.Virut.bf[/B][/LIST][/LIST]