-
Junior Member
- Вес репутации
- 62
Trojan-Proxy.Win32.Pixoliz.a
День добрый!
McAfee увидел Trojan Spam-Xarsever в файле c:\windows\system32\simp_dll.dll. По понимаю AVZ это Trojan-Proxy.Win32.Pixoliz.a.
McAfee удалить файл не смог. Я удалил его с помощь Unlocker. После перезагрузки файл снова появился. McAfee не смог предотвратить его создание. Видимо, по причине того, что он создался до запуска McAfee.
Логи прилагаются.
Очень прошу помочь.
Последний раз редактировалось Ven; 01.03.2008 в 18:09.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Ven
Логи прилагаются.
внимательно прочитайте правила ... какие логи присылать и как их прикреплять ...
-
-
Junior Member
- Вес репутации
- 62
Я так и делал. Почему-то ничего не прикрепилось. Возможно, как раз потому, что этот вирь мне канал убивает - даже модем зависает из-за него
-
судя по всему все золовреды уничтожены для контроля сделайте заново virusinfo_syscheck.zip ...
-
-
Junior Member
- Вес репутации
- 62
Да не уничтожены...файл появляется снова и снова. Файл не могу предоставить сейчас. Пишу из дома, а проблема в офисе.
Думаю, надо искать откуда эта зараза появляется.
-
логи все равно повторите ...
-
-
Junior Member
- Вес репутации
- 62
Повторю уже завтра, наверное.
А лечить как, все-таки?
-
будут логи вылечим ....
-
-
Junior Member
- Вес репутации
- 62
Не особо понимаю что могло измениться с момента последних логов.
Вы просите лог, называя имя файла. Можно узнать какая это из процедур - до перезагрузки или после нее?
-
внимательно прочитайте http://virusinfo.info/showthread.php?t=1235
особенно что касается пункта 10 ...
Код:
10. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
выполните это исходя из него будем лечить...
-
-
Junior Member
- Вес репутации
- 62
Угу, понял...так вот я Вам ответственно заявляю:
Я проверку делал дважды. Между проверками была перезагрузка. То, что я выложил на форум - это результаты второй проверки.
-
я так понимаю вам просто тяжело сделать дополнительный лог ...
пожалуйста вот скрипт лечения ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\wuauclt.exe','');
QuarantineFile('C:\WINDOWS\system32\simp_dll.dll','');
DeleteFile('C:\WINDOWS\system32\simp_dll.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта пришлите карантин согласно приложения 3 правил ...
повторите все 3 лога ....
Последний раз редактировалось V_Bond; 29.07.2007 в 02:07.
Причина: подумал
-
-
Junior Member
- Вес репутации
- 62
Да, тяжело потому что для этого надо ехать в офис.
Спасибо за скрипт!
Объясните пожалуйста что он делает кроме того, что удаляет файл. Дело в том, что удалить я могу и сам и делал это неоднократно, но это не лечение. Ну или может только один из шагов.
-
сейчас посмотрю внимательнее ... штука совсем свежая....
-
-
Junior Member
- Вес репутации
- 62
Есть подозрения что ядро патченое и эта библиотека находится в файле ядра, поэтому она и появляется после каждого ребута.
-
так скрипт немного подправил пришлите карантин .... согласно приложения 3 правил...
-
-
Junior Member
- Вес репутации
- 62
Ваш скрипт выполнил. Лечение произвел руками:
удалил из папки c:\windows\system32 следующие файлы:
wuclt*
ntoskrnl.exe
последний восстановился из кеша ОС и имел меньший размер, чем тот, что я удалил.
Если быть более точным, то я не удалил, а заархивировал под пароль и только потом удалили .EXE.
На форум архив выложить не могу из-за большого размера.
Судя по тому, что файл simp_dll.dll не создается вновь, как ранее - вирус устранен.
-
Junior Member
- Вес репутации
- 62
Вот два файлика, еще один в след сообщении будет
Последний раз редактировалось Ven; 01.03.2008 в 18:09.
-
Junior Member
- Вес репутации
- 62
Не прикрепляет третий....говорит что уже есть такой....видимо, форум глючит на тему прикрепления файлов...ну ладно - не страшно...
-
simp_dll.dll похоже не удалился .... сделайте заново virusinfo_syscheck.zip
если не будет прикрепляться попробуйте удалить старый...
-