Троян

Printable View

10.11.2006, 16:05
Radli

Вложений: 3

Троян

По ходу сидит троян. Касперс кажет что Trojan.Win32.Dialer.qu
y.
Симптомы: при кликании на интернет ярлык на раб столе или вообще при загрузке не открывается окно, но трафик видно работает. На раз третий клиаешь- то открывается соответствующая интернет страница (которая необходима). А Иногда один раз кликнешь, то открывает 3 раза нужную страницу, правда грузит через какой то сайт. И что самое прикольное файл какой нибудь качаешь он его скачает, но сам файл куда-то исчезает. Помогите убить гада пожалуйста.
Все что надо я вложил.
10.11.2006, 16:25
drongo

На какой файл указывает касперский ?
Прислтаь по правилам , а не прикреплять к теме( !
)следуещие файлы :

C:\DOCUME~1\ILD~2.NOI\LOCALS~1\Temp\v4.exe
C:\PROGRA~1\Go!Zilla\GoIEHlp.dll
C:\WINDOWS\SOUNDMAN.EXE
P.s. Go!Zilla-Шпионская легальная программа ,(информация к размышлению : есть легальные и без шпионов ;)
13.11.2006, 11:28
Radli

Послал 2 файла. Годзиллу удалил. Годзила уже стояла год.
Касперский больше не указывает.
Когда проверял drweb-cureit.exe, то он указал на:
c:windows/system32/ipv6mons.dll
srvany.exe
Предложил мне вылечить- я их вылечил.
Продолжаю надеяться на Вашу помощь!
Спасибо!
13.11.2006, 15:31
pig

Ну, srvany, положим, можно было снести, всё равно reset5 на SP2 не действует. А вот убивать IPv6 - это зря, он хороший. Если это он, конечно, а не маскировка. Что CureIt про него сказал?
13.11.2006, 15:47
Shu_b

[QUOTE=pig]А вот убивать IPv6 - это зря, он хороший. Если это он, конечно, а не маскировка. Что CureIt про него сказал?[/QUOTE]
в недавней теме - [QUOTE]ipv6mons.dll удалён давно, Куре распознал в нём Troyan.PWS.Tanspy[/QUOTE]кто знает какой он хороший ;)
13.11.2006, 17:01
pig

Тоды ой.
13.11.2006, 17:19
MOCT

[QUOTE=Shu_b]в недавней теме - кто знает какой он хороший ;)[/QUOTE]
а еще в одной теме был вредоносный файлик ipv6monk.dll
14.11.2006, 09:06
Radli

Ну дальше что делать то подскажите непросвещенному в этом.
14.11.2006, 09:41
AndreyKa

C:\DOCUME~1\ILD~2.NOI\LOCALS~1\Temp\v4.exe - Trojan.Click.1668 (DrWeb)

Завершить процесс v4.exe.
В AVZ меню Файл - "Отложенное удаление файла" удалить файл:
C:\DOCUME~1\ILD~2.NOI\LOCALS~1\Temp\v4.exe
[url=http://virusinfo.info/showpost.php?p=64376&postcount=1]Пофиксить[/url] в HijackThis следующие строки:
O4 - HKLM\..\Run: [syswin] C:\DOCUME~1\ILD~2.NOI\LOCALS~1\Temp\v4.exe
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
14.11.2006, 10:43
Radli

Спасибо Андрейка! И Всем спасибо!
Вроде все нормально.
Только обнаружил на раб. столе файл CA0XEVM7.
Удалить его не могу. AVZ тоже не удаляет. Что делать?

Да главное спасибо создателям форума. Все оперативно и грамотно!
14.11.2006, 12:19
pig

Попробуйте этот файл прислать на анализ. И сделайте новые логи.
14.11.2006, 12:22
AndreyKa

Cделайте логи, начиная с 10-го пункта правил.
15.11.2006, 09:29
Radli

Вложений: 2

Отправляю логи, но файл я ни смог ни с помощью AVZ - он его находит, в корантин его вводит, но его там нет:? . Самостоятельно с архиватором пробовал-архиватор пишет что файл не найден:?
15.11.2006, 21:47
AndreyKa

Возможно, файловую систему переглючило.
Сделайте так:
Меню Пуск Выполнить
chkdsk c: /f
откажитесь от отключения тома.
подтвердите проверку тома при следующей перезагрузке системы.
16.11.2006, 10:16
Radli

Все это проделал. Но с этим файлом ничего не могу сделать.