-
Junior Member
- Вес репутации
- 62
Борьба с Trojan.Proxy
Добрый день!
Началось с того, что НОД32 стал фиксировать c:\windows\system32\perfc000.dat.
Сначала я подключил диск к другой машине и проверил его с помощью CureIT, кот-й нашел и почистил 5 вирусов, затем НОДом32.
Затем вернул диск на место и выполнил все действия согласно правилам.
Итог: AVZ пишет в логе:
"C:\System Volume Information\_restore{264BEBDE-3493-49B8-A1DF-9391D58B3E0C}\RP23\A0007658.exe >>> подозрение на Trojan-Spy.Win32.BZub.jg ( 0A377B16 0EB65D4B 001E4542 002DC9BD 99032)
C:\System Volume Information\_restore{264BEBDE-3493-49B8-A1DF-9391D58B3E0C}\RP23\A0007660.exe >>> подозрение на Trojan-Spy.Win32.BZub.jg ( 0A377B16 0EB65D4B 001E4542 002DC9BD 99032)"
Как убрать? Спасибо.
Последний раз редактировалось Vovan07; 08.10.2007 в 16:49.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
@Vovan07
Затем .... выполнил все действия согласно правилам.
не все . Судя по детекту АВЗ
C:\System Volume Information\_restore...
Вы не выполнили пункт 7 правил:
7. Отключите восстановление системы (Windows Me/XP).
-
-
Junior Member
- Вес репутации
- 62
Вообще птичка стояла. Но я для верности влючил, затем отключил.
Логи все сделаны заново.
Последний раз редактировалось Vovan07; 08.10.2007 в 16:49.
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось Vovan07; 08.10.2007 в 16:49.
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\cnab4rpk.exe','');
QuarantineFile('so1.dll','');
QuarantineFile('C:\WINDOWS\system32\ipv6mons.dll','');
QuarantineFile('C:\WINDOWS\system32\ipv6monk.dll','');
DeleteFile('C:\WINDOWS\system32\ipv6monk.dll');
DeleteFile('C:\WINDOWS\system32\ipv6mons.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложению 3 правил ....
-
-
Junior Member
- Вес репутации
- 62
-
ipv6monk.dll -Trojan-Spy.Win32.BZub.if
ipv6mons - Trojan-Spy.Win32.BZub.if смените пароли ... так как трой похищает их значения из полей ввода ...
so1.dll попробуйте найти при помощи AVZ -поиск файлов на диске ...
и повторите логи...
-
-
Junior Member
- Вес репутации
- 62
"so1.dll попробуйте найти при помощи AVZ -поиск файлов на диске ..." - не находится... Пробовал поиск по разным маскам.
Логи высылаю.
Последний раз редактировалось Vovan07; 08.10.2007 в 16:49.
-
профиксите
Код:
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monk.dll (file missing)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll (file missing)
O2 - BHO: H - {C80FA185-0C28-4806-BA80-3467E02E587F} - so1.dll (file missing)
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ipv6monk.dll');
DeleteFile('C:\WINDOWS\system32\ipv6mons.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
..еще вопрос Remote Administrator сами устанавливали ?
-
-
Junior Member
- Вес репутации
- 62
Выполнил все. Логи высылылаю. Remote Administrator устанавливал я.
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось Vovan07; 08.10.2007 в 16:49.
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось Vovan07; 08.10.2007 в 16:49.
-
в логах ничего вредного не замечено... если проблемы исчезли то лечение можно считать законченым ...
Вы можете нас отблагодарить, http://www.virusinfo.info/showthread.php?t=3519 будем Вам очень благодарны!
-
-
Junior Member
- Вес репутации
- 62
Большое спасибо за помощь. Вашу просьбу выполню.
Добавлено через 1 час 41 минуту
Совсем забыл!
Восстановление системы включать?
И как же в вирусами, кот-е изначально обнаруживались в System Volume Information?
Последний раз редактировалось Vovan07; 27.07.2007 в 11:25.
Причина: Добавлено сообщение
-
Сообщение от
Vovan07
И как же в вирусами, кот-е изначально обнаруживались в System Volume Information?
A никак, при отключении всё там стирается вместе с вирусами.Можно включить заново system restore, однако советую пользоваться сторонними разработками, так как данная система очень редко срабатывает как надо и когда надо.Mне нравиться програмка от акронис.
Советую отключить лишние сервисы, и компьютеру ресурсов больше и дырок меньше:
Код:
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
-
-
Junior Member
- Вес репутации
- 62