Printable View
Здравствуйте.
Хочу у вас опять попросить помощи.
На работе коллега заразил комп свой. Нортон ноходит 9 файлов, хотя в отчете остаются только 4 и обзывает их: [B]PHP.RSTBackdoor[/B] virus и 3*[B]Hacktool[/B] virus.
Хотя при загрузке системы тот же нортон все время пытается заблокировать Трояна.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\r_server.exe','');
RebootWindows(true);
end.[/CODE]
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
Сообщите путь и имя файлов на которые ругается нортон.
Нортон выдавал следующие файлы:
[QUOTE]The compressed file r57shell.php within G:\DISTRIBUTIV\Электронные продукты для сайта +++\Wmshop 8 от петиlaza.rar is infected with the PHP.RSTBackdoor virus.
The compressed file redirect.php within G:\DISTRIBUTIV\Электронные продукты для сайта +++\Wmshop 8 от петиlaza.rar is infected with the Hacktool virus.
The compressed file tovar.php within C:\Documents and Settings\ВаВан\Рабочий стол\ВСЕ ЭЛЕКТРОННЫЕ ТОВАРЫ\ЭЛЕКТРОННЫЕ продажа NEW\Скрипт магазина\45976_t119u1610w2282o1421c1904f1645p406b1820z3024q3829y3052.rar is infected with the Hacktool virus.
The compressed file tovar.php within G:\DISTRIBUTIV\Электронные продукты для сайта +++\Магазины\Скрипт магазина\45976_t119u1610w2282o1421c1904f1645p406b1820z3024q3829y3052.rar is infected with the Hacktool virus.[/QUOTE]
Карантин вечером принесу.
Захватите заодно и вышеперечисленные файлы. Заархивируйте их под пароль [B]virus[/B] и пришлите вместе с карантином по правилам раздела.
1.На компьютер r_admin сами устанавливали?
2. Там заблокирован regedit. Это сделано Вами самими или вирусом?
Если не Вами, то выполните скрипт:
[CODE]
begin
ExecuteRepair(6);
end.
[/CODE]
3. В дополнение к скрипту от MaXim: Выполните скрипт. Получившийся карантин загрузите через форму для загрузки.
[CODE]begin
QuarantineFile('G:\ФЛЭШКА 1\_____МОИ САЙТЫ______\____САЙТЫ____\PLATIWM.IMFO_20\ВСЕ ТОВАРЫ\Электронные товары\Новая папка\2\neosap.rar' ,'');
QuarantineFile('G:\ФЛЭШКА 1\_____МОИ САЙТЫ______\____САЙТЫ____\PLATIWM.IMFO_20\ВСЕ ТОВАРЫ\ТОВАРЫ\34.rar','');
end.
[/CODE]
R_admin устанавливал, по-моему, коллега себе (если я не путаю, он управлял с помощью этой проги аппаратурой по сети).
Сегодня могу выложить только карантин после второго поста (компьютер на работе).
Карантин залил.
[QUOTE]Файл сохранён как 070320_180304_virus_45fff7a80f643.zip
Размер файла 1241817
MD5 b542dd5138e533e7ddfb9d8cfe0a4171 [/QUOTE]
А код второго пункта поста 6 надо выполнить или нет? Даже если прогу сами ставили.
Если нужен доступ к реестру, то нужно. А так вобщем-то можно и с этим жить. Есть у нас клиенты, которым специально это закрыли.
Флешкины файлы с подозрениями, но не более. Надо бы их чем-нибудь, акромя virustotal проверить.
Присланные файлы (По Kaspersky)
[B]Backdoor.PHP.Rst.g - r57shell.php
not-a-virus:RemoteAdmin.PHP.RemView.a - redirect.php
not-a-virus:RemoteAdmin.PHP.RemView.a - tovar.php[/B]
Подозрительные файлы из поста 3 закачал:
[QUOTE]Файл сохранён как 070321_180031_virus_files_4601488f2bc18.zip [/QUOTE]
Карантин после выполнения скрипта поста 6 закачал. Он один-в-один как и карантин после выполнения скрипта поста 2.
[QUOTE]Файл сохранён как 070321_181315_virus_quarant_46014b8b2f026.zip [/QUOTE]
Каковы мои следующие действия?