Здравствуйте.
Веб постоянно находит trojan.spambot. Удаление ничего не дает. Идут постоянные коннекты с различнами адресами.
Здравствуйте.
Веб постоянно находит trojan.spambot. Удаление ничего не дает. Идут постоянные коннекты с различнами адресами.
Восстановление системы отключено? Если нет, то отключить и повторить логи AVZ.
Пред. анализ: гадости довольно много. Лечится можно, но аккуратно.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Извиняюсь, про восстановление как-то забыл.
Новые логи.
Выполнить скрипт:
Загрузить карантин по ссылке вверху темы.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\r5891w32.dll',''); QuarantineFile('\??\C:\WINDOWS\system32:lzx32.sys',''); QuarantineFile('C:\WINDOWS\System32\rdrv1x.exe',''); QuarantineFile('c:\windows\svchоst.exe',''); QuarantineFile('c:\windows\9353036.exe',''); QuarantineFile('c:\windows\system32\al32.dll','' ); DeleteFile('C:\WINDOWS\r5891w32.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('pe386'); BC_DeleteFile('c:\windows\svchоst.exe'); BC_DeleteFile('\??\C:\WINDOWS\system32:lzx32.sys'); RebootWindows(true); end.
C:\Documents and Settings\Dimidrol\Мои документы\Док Пахра\Для рассылки - что в этой директории знаете? Очень много подозрений на файлы из нее.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Скрипт выполнил, карантин отослал.
В папке находятся файлы, присланные из филиала. В принципе их можно безболезненно грохнуть.
Карантин посмотрю.
Эту папку (с файлами из филиала) лучше удалить + есть еще вторая похожая , в которой похожие файлы. Смотри в конце одного из логов AVZ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Файлы убил, а что делать с троянцем?
забыл одну строчку дописать в скрипт. Что-то непруха у меня сегодня.
Ну, да ничего, охота удачной получилась:
C:\WINDOWS\r5891w32.dll - Trojan-Downloader.Win32.Small.cxx (Касперский)
c:\windows\svchоst.exe - Packed.Win32.PolyCrypt.b (Касперский)
c:\windows\9353036.exe -Trojan-PSW.Win32.LdPinch.ceb (Касперский), свежий.
Выполнить скрипт:
Прислать карантин, если туда что-нибудь попадет.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\al32.dll','' ); DeleteFile('c:\windows\9353036.exe'); DeleteFile('C:\WINDOWS\r5891w32.dll'); DeleteFile('C:\WINDOWS\svchоst.exe'); BC_DeleteFile('c:\windows\9353036.exe'); BC_DeleteFile('C:\WINDOWS\svchоst.exe'); BC_DeleteFile('C:\WINDOWS\r5891w32.dll'); BC_deleteSvc('pe386'); BC_DeleteFile('\??\C:\WINDOWS\system32:lzx32.sys'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Надо будет менять все ПАРОЛИ (почта, аська, вебмани).
В файл Hosts сами строчки дописывали?
Последний раз редактировалось PavelA; 09.07.2007 в 15:58.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
да нет, похоже кто-то зловредный
См. скрипт выше. Я вставил.
Плюс второй:
begin
ClearHostsfile;
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо, скрипты выполнил, в карантине что-то есть, отправил
Выполнить еще один:
Новые логи в студию, то бишь в тему.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\windows\system32\al32.dll' ); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все выполнил. В карантине чисто, логи прилагаются
Теперь чистим хвосты:
В hijackthis фиксим строчки:
Код:O4 - HKCU\..\Run: [NeroFilterCheck] svchоst.exe O21 - SSODL: 236268 - {00000969-4321-1234-4321-0A1B2C3D4E99} - r5891w32.dll (file missing)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
строки пофиксил, какие дальнейшие рекомендации, или все?
Trojan-Downloader.Win32.Agent.bga - это тот, который последний.
Рекомендацию сменить пароли не забыл выполнить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Нет, спасибо большое
Чтобы уменьшить шанс заражения советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!
Удачи!
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\r5891w32.dll - Trojan-Downloader.Win32.Small.cxx (DrWEB: Adware.SQuery)
- c:\\windows\\svchоst.exe - Packed.Win32.PolyCrypt.d (DrWEB: Trojan.Packed.166)
- c:\\windows\\system32\\al32.dll - Trojan-Downloader.Win32.Agent.bga (DrWEB: Trojan.DownLoader.24153)
- c:\\windows\\9353036.exe - Trojan-PSW.Win32.LdPinch.ceb (DrWEB: Trojan.Packed.153)
Уважаемый(ая) Dimidrol, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.