Показано с 1 по 16 из 16.

Борьба с Trojan.Proxy (заявка № 11349)

  1. #1
    Junior Member Репутация
    Регистрация
    26.07.2007
    Сообщений
    17
    Вес репутации
    38

    Thumbs up Борьба с Trojan.Proxy

    Добрый день!
    Началось с того, что НОД32 стал фиксировать c:\windows\system32\perfc000.dat.
    Сначала я подключил диск к другой машине и проверил его с помощью CureIT, кот-й нашел и почистил 5 вирусов, затем НОДом32.
    Затем вернул диск на место и выполнил все действия согласно правилам.
    Итог: AVZ пишет в логе:
    "C:\System Volume Information\_restore{264BEBDE-3493-49B8-A1DF-9391D58B3E0C}\RP23\A0007658.exe >>> подозрение на Trojan-Spy.Win32.BZub.jg ( 0A377B16 0EB65D4B 001E4542 002DC9BD 99032)
    C:\System Volume Information\_restore{264BEBDE-3493-49B8-A1DF-9391D58B3E0C}\RP23\A0007660.exe >>> подозрение на Trojan-Spy.Win32.BZub.jg ( 0A377B16 0EB65D4B 001E4542 002DC9BD 99032)"

    Как убрать? Спасибо.
    Последний раз редактировалось Vovan07; 08.10.2007 в 15:49.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    @Vovan07
    Затем .... выполнил все действия согласно правилам.
    не все . Судя по детекту АВЗ
    C:\System Volume Information\_restore...
    Вы не выполнили пункт 7 правил:
    7. Отключите восстановление системы (Windows Me/XP).

  4. #3
    Junior Member Репутация
    Регистрация
    26.07.2007
    Сообщений
    17
    Вес репутации
    38
    Вообще птичка стояла. Но я для верности влючил, затем отключил.
    Логи все сделаны заново.
    Последний раз редактировалось Vovan07; 08.10.2007 в 15:49.

  5. #4
    Junior Member Репутация
    Регистрация
    26.07.2007
    Сообщений
    17
    Вес репутации
    38
    Извините, досылаю лог.
    Последний раз редактировалось Vovan07; 08.10.2007 в 15:49.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\cnab4rpk.exe','');
     QuarantineFile('so1.dll','');
     QuarantineFile('C:\WINDOWS\system32\ipv6mons.dll','');
     QuarantineFile('C:\WINDOWS\system32\ipv6monk.dll','');
     DeleteFile('C:\WINDOWS\system32\ipv6monk.dll');
     DeleteFile('C:\WINDOWS\system32\ipv6mons.dll');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
     end.
    пришлите карантин согласно приложению 3 правил ....

  7. #6
    Junior Member Репутация
    Регистрация
    26.07.2007
    Сообщений
    17
    Вес репутации
    38
    Карантин выслал

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    ipv6monk.dll -Trojan-Spy.Win32.BZub.if
    ipv6mons - Trojan-Spy.Win32.BZub.if смените пароли ... так как трой похищает их значения из полей ввода ...
    so1.dll попробуйте найти при помощи AVZ -поиск файлов на диске ...
    и повторите логи...

  9. #8
    Junior Member Репутация
    Регистрация
    26.07.2007
    Сообщений
    17
    Вес репутации
    38
    "so1.dll попробуйте найти при помощи AVZ -поиск файлов на диске ..." - не находится... Пробовал поиск по разным маскам.
    Логи высылаю.
    Последний раз редактировалось Vovan07; 08.10.2007 в 15:49.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    профиксите
    Код:
     
    O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monk.dll (file missing)
    O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll (file missing)
    O2 - BHO: H - {C80FA185-0C28-4806-BA80-3467E02E587F} - so1.dll (file missing)
    выполните скрипт ....
    Код:
     
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\ipv6monk.dll');
     DeleteFile('C:\WINDOWS\system32\ipv6mons.dll');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
     end.
    ..еще вопрос Remote Administrator сами устанавливали ?

  11. #10
    Junior Member Репутация
    Регистрация
    26.07.2007
    Сообщений
    17
    Вес репутации
    38
    Выполнил все. Логи высылылаю. Remote Administrator устанавливал я.

  12. #11
    Junior Member Репутация
    Регистрация
    26.07.2007
    Сообщений
    17
    Вес репутации
    38
    Извините, логи вдогонку.
    Последний раз редактировалось Vovan07; 08.10.2007 в 15:49.

  13. #12
    Junior Member Репутация
    Регистрация
    26.07.2007
    Сообщений
    17
    Вес репутации
    38
    Еще раз извините
    Последний раз редактировалось Vovan07; 08.10.2007 в 15:49.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в логах ничего вредного не замечено... если проблемы исчезли то лечение можно считать законченым ...
    Вы можете нас отблагодарить, http://www.virusinfo.info/showthread.php?t=3519 будем Вам очень благодарны!

  15. #14
    Junior Member Репутация
    Регистрация
    26.07.2007
    Сообщений
    17
    Вес репутации
    38
    Большое спасибо за помощь. Вашу просьбу выполню.

    Добавлено через 1 час 41 минуту
    Совсем забыл!
    Восстановление системы включать?
    И как же в вирусами, кот-е изначально обнаруживались в System Volume Information?
    Последний раз редактировалось Vovan07; 27.07.2007 в 10:25. Причина: Добавлено сообщение

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Цитата Сообщение от Vovan07 Посмотреть сообщение
    И как же в вирусами, кот-е изначально обнаруживались в System Volume Information?
    A никак, при отключении всё там стирается вместе с вирусами.Можно включить заново system restore, однако советую пользоваться сторонними разработками, так как данная система очень редко срабатывает как надо и когда надо.Mне нравиться програмка от акронис.
    Советую отключить лишние сервисы, и компьютеру ресурсов больше и дырок меньше:
    Код:
    O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
    Чтобы уменьшить шанс заражения, на будущее :
    1) Работать за компьютером с правами ограниченного пользователя.
    2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
    3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

  17. #16
    Junior Member Репутация
    Регистрация
    26.07.2007
    Сообщений
    17
    Вес репутации
    38
    Спасибо.

  • Уважаемый(ая) Vovan07, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 11
      Последнее сообщение: 22.02.2009, 03:25
    2. Trojan.Recycle,Trojan.Ipsof,Trojan.Proxy и.т.д.
      От Smart в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 02:07
    3. Ответов: 18
      Последнее сообщение: 30.05.2008, 12:57
    4. Trojan.downloader.origin., trojan.proxy., BN2.tmp, BN3.tmp, load8
      От Vedmedya в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.04.2008, 21:39
    5. Ответов: 22
      Последнее сообщение: 22.05.2007, 10:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01201 seconds with 16 queries