троян

Printable View

16.04.2007, 22:52
skull2005

Вложений: 3

троян

попался троян при установке ключа для игры
антивирус аваст его находит и неудаляет
програма drweb-cureit также нашла трояна
и вроде как удалила но троян как нивчем небывало появился опять
16.04.2007, 23:14
drongo

[url=http://virusinfo.info/showthread.php?t=7239]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/url]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\rtnews\tbrtne.dll','');
QuarantineFile('C:\WINDOWS\system\smss.exe','');
QuarantineFile('C:\Program Files\PrevedSMS\preved.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\dash team poll phone\Bold ace.exe','');
QuarantineFile('C:\DOCUME~1\LENA\APPLIC~1\PLAYTW~1\AtomShim.exe','');
QuarantineFile('c:\docume~1\lena\locals~1\temp\75exinjs.a4.exe','');
QuarantineFile('c:\docume~1\lena\locals~1\temp\65exym50.6.exe','');
RebootWindows(true);
end.
[/code]
Прислать всё что попадёт в карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=9042[/url]........

P.S. Kакой полный путь к файлу, который аваст не может удалить ? "Имя , сестра , скажи имя !" <c>
16.04.2007, 23:54
skull2005

"Win32:Agent-VM [Trj]" has been found in "C:\DOCUME~1\LENA\LOCALS~1\Temp\13exed32_2.d.exe\[UPX]" file.
17.04.2007, 18:49
skull2005

файлы карантина еще вчера отправил а антивирус продолжает звенеть
17.04.2007, 18:54
skull2005

4/17/20075:14:26 PM
1176819266LENA
1464Sign of "Win32:Agent-VM [Trj]" has been found in "C:\DOCUME~1\LENA\LOCALS~1\Temp\83exml32.9.exe\[UPX]" file.
17.04.2007, 19:08
PavelA

Можно почиститься CCleaner, либо ручками почистить директорию TEMP.
Где-то погуляли неудачно в Инете.
17.04.2007, 19:23
PavelA

C:\WINDOWS\system\smss.exe - Trojan-Proxy.Win32.Horst.xx (по Касперскому)
75exinjs.a4.exe - вирус по Симантеку
В AVZ выполнить скрипт.
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system\smss.exe');
DeleteFile('c:\docume~1\lena\locals~1\temp\75exinjs.a4.exe');
DeleteFile('c:\docume~1\lena\locals~1\temp\65exym50.6.exe');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
В дополнение выполнить то, что написал выше.
17.04.2007, 21:23
skull2005

аваст после сканирования ничево необнаружил,вроде все удалилось .
что сейчас делать повторные логи?
18.04.2007, 09:59
anton_dr

да.
21.04.2007, 17:34
skull2005

ну вот пока делали повторные логи вирус опять проснулся
===========================================
4/21/20073:13:21 PM
1177157601LENA
1480Sign of "Win32:Horst-HV [Trj]" has been found in "C:\RECYCLER\S-1-5-21-2052111302-1275210071-839522115-1003\Dc178.exe\[UPX]" file.
4/21/20073:13:32 PM
1177157612LENA
1480Sign of "Win32:Horst-HV [Trj]" has been found in "C:\RECYCLER\S-1-5-21-2052111302-1275210071-839522115-1003\Dc147.exe\[UPX]" file.
21/04/200715:18:15
1177157895LENA
5564Sign of "Win32:Horst-HV [Trj]" has been found in "C:\Documents and Settings\LENA\Local Settings\Temp\38exgm50pic.7.exe\[UPX]" file.
============================================
он кажется никогда неисчезнет
как теперь вложить повторные логи
21.04.2007, 17:51
skull2005

Вложений: 3

[ATTACH]9[ATTACH]9030[/ATTACH]

[ATTACH]9031[/ATTACH]

[ATTACH]9032[/ATTACH]032[/ATTACH]
23.04.2007, 10:00
PavelA

[QUOTE=skull2005;104977]ну вот пока делали повторные логи вирус опять проснулся
===========================================
4/21/20073:13:21 PM
1177157601LENA
1480Sign of "Win32:Horst-HV [Trj]" has been found in "C:\RECYCLER\S-1-5-21-2052111302-1275210071-839522115-1003\Dc178.exe\[UPX]" file.
4/21/20073:13:32 PM
1177157612LENA
1480Sign of "Win32:Horst-HV [Trj]" has been found in "C:\RECYCLER\S-1-5-21-2052111302-1275210071-839522115-1003\Dc147.exe\[UPX]" file.
21/04/200715:18:15
1177157895LENA
5564Sign of "Win32:Horst-HV [Trj]" has been found in "C:\Documents and Settings\LENA\Local Settings\Temp\38exgm50pic.7.exe\[UPX]" file.
============================================
он кажется никогда неисчезнет
как теперь вложить повторные логи[/QUOTE]

Это "Корзина" и директория "Темр". Можно просто почистить.

А логи сейчас взгляну.
23.04.2007, 10:17
PavelA

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/URL]

[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
ClearQuarantine;
QuarantineFile('C:\Program Files\MP3 Player Utilities 3.57\RDiskUpdate\DelDrv.exe','');
QuarantineFile('C:\Program Files\rtnews\tbrtne.dll','');
QuarantineFile('C:\Documents and Settings\LENA\Application Data\Microsoft\Installer\{E4C3B10E-E277-4458-8440-DAE332D50BF3}\_4ae13d6c.exe','');
BC_ImportQuarantineList;
// Активация драйвера Boot Cleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
// Перезагрузка
RebootWindows(true);
end.[/CODE]

Прислать карантин согласно приложения 3 правил .
C:\Program Files\rtnews\tbrtne.dll - найти в AVZ и добавить в карантин.

Почистить диск "С". "Мой компьютер" -- "Диск С" -- правая клавиша -- "Свойства" -- "Очистка диска" -- отметить галочками все временные файлы.
22.02.2009, 01:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\lena\\locals~1\\temp\\65exym50.6.exe - [B]Trojan-Proxy.Win32.Horst.xx[/B] (DrWEB: Win32.HLLW.Medbod)[*] c:\\docume~1\\lena\\locals~1\\temp\\75exinjs.a4.exe - [B]Trojan-Proxy.Win32.Horst.sv[/B] (DrWEB: Trojan.Proxy.1398)[*] c:\\windows\\system\\smss.exe - [B]Trojan-Proxy.Win32.Horst.xx[/B] (DrWEB: Trojan.DownLoader.21551)[/LIST][/LIST]