Борьба с Trojan.Proxy

**Vovan07** · 26.07.2007, 14:29

Добрый день!
Началось с того, что НОД32 стал фиксировать c:\windows\system32\perfc000.dat.
Сначала я подключил диск к другой машине и проверил его с помощью CureIT, кот-й нашел и почистил 5 вирусов, затем НОДом32.
Затем вернул диск на место и выполнил все действия согласно правилам.
Итог: AVZ пишет в логе:
"C:\System Volume Information\_restore{264BEBDE-3493-49B8-A1DF-9391D58B3E0C}\RP23\A0007658.exe >>> подозрение на Trojan-Spy.Win32.BZub.jg ( 0A377B16 0EB65D4B 001E4542 002DC9BD 99032)
C:\System Volume Information\_restore{264BEBDE-3493-49B8-A1DF-9391D58B3E0C}\RP23\A0007660.exe >>> подозрение на Trojan-Spy.Win32.BZub.jg ( 0A377B16 0EB65D4B 001E4542 002DC9BD 99032)"

Как убрать? Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 26.07.2007, 14:50

@Vovan07

Затем .... выполнил все действия согласно правилам.

не все

. Судя по детекту АВЗ

C:\System Volume Information\_restore...

Вы не выполнили пункт 7 правил:

7. Отключите восстановление системы (Windows Me/XP).

**Vovan07** · 26.07.2007, 15:26

Вообще птичка стояла. Но я для верности влючил, затем отключил.
Логи все сделаны заново.

**Vovan07** · 26.07.2007, 15:28

Извините, досылаю лог.

**V_Bond** · 26.07.2007, 16:17

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\cnab4rpk.exe','');
 QuarantineFile('so1.dll','');
 QuarantineFile('C:\WINDOWS\system32\ipv6mons.dll','');
 QuarantineFile('C:\WINDOWS\system32\ipv6monk.dll','');
 DeleteFile('C:\WINDOWS\system32\ipv6monk.dll');
 DeleteFile('C:\WINDOWS\system32\ipv6mons.dll');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
 end.

пришлите карантин согласно приложению 3 правил ....

**Vovan07** · 26.07.2007, 16:41

Карантин выслал

**V_Bond** · 26.07.2007, 17:24

ipv6monk.dll -Trojan-Spy.Win32.BZub.if
ipv6mons - Trojan-Spy.Win32.BZub.if смените пароли ... так как трой похищает их значения из полей ввода ...
so1.dll попробуйте найти при помощи AVZ -поиск файлов на диске ...
и повторите логи...

**Vovan07** · 26.07.2007, 17:56

"so1.dll попробуйте найти при помощи AVZ -поиск файлов на диске ..." - не находится... Пробовал поиск по разным маскам.
Логи высылаю.

**V_Bond** · 26.07.2007, 19:40

профиксите

Код:

 
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monk.dll (file missing)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll (file missing)
O2 - BHO: H - {C80FA185-0C28-4806-BA80-3467E02E587F} - so1.dll (file missing)

выполните скрипт ....

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\ipv6monk.dll');
 DeleteFile('C:\WINDOWS\system32\ipv6mons.dll');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
 end.

..еще вопрос Remote Administrator сами устанавливали ?

**Vovan07** · 27.07.2007, 09:19

Выполнил все. Логи высылылаю. Remote Administrator устанавливал я.

**Vovan07** · 27.07.2007, 09:21

Извините, логи вдогонку.

**Vovan07** · 27.07.2007, 09:23

Еще раз извините

**V_Bond** · 27.07.2007, 09:33

в логах ничего вредного не замечено... если проблемы исчезли то лечение можно считать законченым ...
Вы можете нас отблагодарить, http://www.virusinfo.info/showthread.php?t=3519 будем Вам очень благодарны!

**Vovan07** · 27.07.2007, 11:24

Большое спасибо за помощь. Вашу просьбу выполню.

Добавлено через 1 час 41 минуту
Совсем забыл!
Восстановление системы включать?
И как же в вирусами, кот-е изначально обнаруживались в System Volume Information?

**drongo** · 27.07.2007, 11:28

Сообщение от Vovan07

И как же в вирусами, кот-е изначально обнаруживались в System Volume Information?

A никак, при отключении всё там стирается вместе с вирусами.Можно включить заново system restore, однако советую пользоваться сторонними разработками, так как данная система очень редко срабатывает как надо и когда надо.Mне нравиться програмка от акронис.
Советую отключить лишние сервисы, и компьютеру ресурсов больше и дырок меньше:

Код:

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

**Vovan07** · 27.07.2007, 11:35

Спасибо.

Борьба с Trojan.Proxy (заявка № 11349)

Опции темы

Борьба с Trojan.Proxy

Похожие темы

Trojan.Spambot.2559, Trojan.Inject.544, Trojan.Proxy.2373, Trojan.MulDrop.9764 и др.

Trojan.Recycle,Trojan.Ipsof,Trojan.Proxy и.т.д.

Ошибки Win приложений. Trojan.Inject.572, Trojan.Proxy.3203

Trojan.downloader.origin., trojan.proxy., BN2.tmp, BN3.tmp, load8

Trojan.PWS & Trojan.Proxy & Trojan.DownLoader + маленькая тележка

Ваши права в разделе