-
Full Member
- Вес репутации
- 64
Trojan Horse
Здравствуйте! На компьютере поселился троян! Симантек выдаёт сообщение о наличии Trojan Horse. Прогнал CureIT, вроде что-то удалил, но симантек, всё равно продолжате выводить сообщение. Помимо этого периодически с этого компьютера отправляют сообщения по электронной почте.
Посмотрите, пожалуйста, логи. Буду ждать сообщений.
Последний раз редактировалось ghostil; 11.04.2008 в 19:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\w32sys6.exe','');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Удалите Yahoo. Повторите логи.
-
-
Full Member
- Вес репутации
- 64
Скрипт выполнил, карантин закачал. Сейчас логи выполню и выложу.
-
В карантине сидят C:\Documents and Settings\Marat\xXx.exe - Trojan-PSW.Win32.LdPinch.fah
C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA - Trojan.Win32.Agent.dxg
Поищите при помощи АВЗ Сервис--Поиск файлов на диске w32sys6.exe и пришлите по правилам.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Marat\xXx.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Теперь давайте логи. В срочном порядке меняйте все пароли.
-
-
Full Member
- Вес репутации
- 64
указанный вами файлик АВЗ не нашла. Сейчас выполняю последний указанный скрипт и сделаю логи.
-
Full Member
- Вес репутации
- 64
Вот новые логи! Спасибо за указания, сейчас поменяю все пароли.
Последний раз редактировалось ghostil; 11.04.2008 в 19:10.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\w32sys6.exe');
DeleteService('RasMan');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
Повторите логи. Yahoo почему не удалили? Пароли поменяли?
-
-
Full Member
- Вес репутации
- 64
потому что пользователя компьютера этот дурацкий Yahoo нужен!:-(
-
Сообщение от
ghostil
потому что пользователя компьютера этот дурацкий Yahoo нужен!:-(
Для чего? Разве пользователь это не Вы?
-
-
Full Member
- Вес репутации
- 64
да в том-то всё дело, что не я!Пользователь - мой начальник :-)
-
Аааа. Бывает Ну давайте повторные логи.
-
-
Full Member
- Вес репутации
- 64
Спасибо за понимание!Пароли поменял! Вот выкладываю новые логи!
Последний раз редактировалось ghostil; 11.04.2008 в 19:10.
-
В логах всё чисто. Советую сделать вот такую штуку http://virusinfo.info/showthread.php?t=2852 Шеф ни чего не заметит, зато безопасность увеличится.
-
-
Full Member
- Вес репутации
- 64
Спасибо большое за оперативную помощь!:-)
-
Всегда пожалуйста
-