зоопарк троянов

Printable View

22.05.2007, 12:28
Rogoff

зоопарк троянов

проверка др.вебом выдала наличие:
trojan.perflog.30
trojan.perflog.31
vbs.psyme.377
trojan.downloader.21898
trojan.NtRootkit.218
trojan.NtRootkit.219
trojan.spambot
trojan.sklog

одни лежали в кэше инет эксплорера (кэш почищен), другие в темповых папках (тоже очищены, но два файла не удаляются)

выполнить [B][COLOR=black][FONT=Verdana]"Скрипт сбора информации для раздела "Помогите!" virusinfo.info" [/FONT][/COLOR][/B][COLOR=black][FONT=Verdana]не получилось, т.к. авз почему-то перестала корректно работать (не отображается перечень скриптов).

Кроме того, как вернуть в прежнее состояние раздел реестра notify? импорт ветки с другого компа не помогает
[/FONT][/COLOR][B][COLOR=black][/COLOR][/B]
22.05.2007, 13:10
Rene-gad

@Rogoff
Пофиксите
[QUOTE]O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\0F8E~1\LOCALS~1\Temp\winlogon.exe[/QUOTE]
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Art Plus\Wallpaper5\wallpaper.exe','');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\DOCUME~1\0F8E~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\winlogon.exe','');
QuarantineFile('?','');
BC_DeleteFile('C:\DOCUME~1\0F8E~1\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
BC_DeleteFile('?');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки закачайте карантин по [URL="http://virusinfo.info/upload_virus.php?tid=9720"]правилам[/URL] и сделайте новые логи.
22.05.2007, 13:16
drongo

Я бы заново перекачал авз , так быть не должно.
23.05.2007, 05:09
Rogoff

[quote=drongo;111245]Я бы заново перекачал авз , так быть не должно.[/quote]

авз пришлось запустить в безопасном режиме. Строки пофиксены, скрипт выполнен. Авз в обычном режиме стала нормально работать. Карантин закачан, логи прилагаются.

По поводу раздела HCLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify

вернул его назад. Но теперь не работает сеть и в диспетчере задач сетевые платы всё с восклицательными знаками. Может разрешений на раздел Notify добавить? Я поставил system все разрешено + создатель-вледелец все разрешено.
23.05.2007, 14:58
PavelA

@ Rogoff
У Вас был [b]пинч[/b], пришло время менять на все пароли.

Пришлите полученный карантин по ссылке вверху.
24.05.2007, 04:45
Rogoff

я ж его уже закачивал. Закачал еще раз.

Файл сохранён как 070524_044033_virus_4654df01b8c24.zip
Размер файла 1529708
MD5 3dc5db8cad15d2f9f79ad2dbccd4cb47

система уже чистая?
24.05.2007, 11:48
Rogoff

на всякий случай напоминаю про эту тему и про отправленный карантин
24.05.2007, 12:18
PavelA

winlogon.exe из директории Temp - Virus.Win32.Grum.f
wallpaper.exe - чистый.

Больше в карантин ничего не попало. Надеюсь, что скрипт вирус удалил.
Еще раз напоминаю о необходимости смены паролей. Они уже стали известны другим людям.