троян

Printable View

13.02.2010, 14:09
Lemur_1

троян

Добрый день!
в системе появилась троянская программа. drWeb находит svchost.exe в папке Program Files\Microsoft Office и *001.exe файлы в папке \WINDOWS\system32. убивает, после перезагрузкифайлы появляются снова.
13.02.2010, 14:21
DefesT

Доброго времени суток
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('e:\windows\system32\sbdrv.exe');
TerminateProcessByName('e:\windows\system32\sbccv.exe');
QuarantineFile('E:\WINDOWS\system32\enumrunsrv.dll','');
QuarantineFile('e:\windows\system32\sbccv.exe','');
QuarantineFile('e:\windows\system32\sbdrv.exe','');
QuarantineFile('E:\PROGRA~1\qsvkb\qsv.dll','');
QuarantineFile('E:\PROGRA~1\qapvh\qap.dll','');
SetServiceStart('massfderm', 4);
SetServiceStart('masdsdfrm', 4);
DeleteService('massfderm');
DeleteService('masdsdfrm');
DeleteFile('e:\windows\system32\sbccv.exe');
DeleteFile('e:\windows\system32\sbdrv.exe');
DeleteFile('e:\windows\system32\enumrunsrv.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\EnumSrv\Parameters','ServiceDll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
13.02.2010, 15:02
Lemur_1

скрипт выполнил.
новые логи
13.02.2010, 15:15
DefesT

Как самочувствие системы? Жалобы есть?
13.02.2010, 15:42
Lemur_1

Dr.Web находит в Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GS13XWWI H001[2].exe возможно DLOADER.trojan?
В папке Program Files\Microsoft Office находится файл svchost.exe.
13.02.2010, 16:06
DefesT

Эти файлы уже не активны. Очистите временные папки интернета. Скачайте AVPTool и сделайте сканирование диска C.
13.02.2010, 17:38
Lemur_1

всё! спасибо!!!
14.02.2010, 17:38
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\windows\system32\enumrunsrv.dll - [B]Trojan-Downloader.Win32.Agent.dbft[/B] ( DrWEB: Trojan.DownLoad1.36869 )[*] e:\windows\system32\sbccv.exe - [B]Trojan.Win32.Agent.dkyh[/B] ( AVAST4: Win32:Dogrobot [Drp] )[*] e:\windows\system32\sbdrv.exe - [B]Trojan.Win32.Agent.dkyi[/B] ( DrWEB: DDoS.Attack.230, AVAST4: Win32:Dogrobot [Drp] )[/LIST][/LIST]