Показано с 1 по 14 из 14.

Trojan Horse (заявка № 19036)

  1. #1
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40

    Exclamation Trojan Horse

    Здравствуйте!
    Сегодня утром с этого компьютера началась глобальная отправка электронных писем и Symantec стал выдавать сообщения о Trojan Horse, Downloader, e.t.c. Запустил проверку CureIT, и после удаления большинства троянов отсылка писем прекратилась. Но сейчас Symantec стал выдавать сообщение об обнаружении Trojan Horse. Посомтрите, пожалуйста, логи. На данный момент Symantec никаких сообщений не выводит, но вдруг что-то осталось!
    Последний раз редактировалось ghostil; 21.04.2008 в 14:44.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Installer\{98ff2aef-64d5-4a5e-afcf-37295c7dd62c}\RamBoot.dll','');
     QuarantineFile('C:\WINDOWS\Installer\{81c1175a-de3d-44fc-9392-8b778cbbc396}\zip.dll','');
     QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\.//..//~tmp1174.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\cftmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Kpt04.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     QuarantineFile('C:\WINDOWS\system32\winlagan.exe','');
     QuarantineFile('C:\WINDOWS\system\hipsrv.mm','');
     DeleteFile('C:\WINDOWS\system\hipsrv.mm');
     DeleteFile('C:\WINDOWS\system32\winlagan.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Kpt04.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\cftmon.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Рабочий стол\.//..//~tmp1174.exe');
     DeleteFile('C:\WINDOWS\Installer\{81c1175a-de3d-44fc-9392-8b778cbbc396}\zip.dll');
     DeleteFile('C:\WINDOWS\Installer\{98ff2aef-64d5-4a5e-afcf-37295c7dd62c}\RamBoot.dll');
    BC_ImportALL;
    BC_DeleteSvc('Qpj40');
    BC_DeleteSvc('NdisWon');
    BC_DeleteSvc('asc3550v');
    BC_DeleteSvc('asc355');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=19036).
    Обновите базы AVZ.
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40
    Скрипт я выполнил, а вот в папке карантина почему-то самого карантина нет. Сейчас обновлю AVZ и сделаю логи! Спасибо большое за оперативный ответ!

  5. #4
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40
    Вот новые логи, жду Вашего ответа с нетерпением!
    Последний раз редактировалось ghostil; 21.04.2008 в 14:44.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Выполните такой скрипт:
    Код:
    begin
     BC_QrFile('C:\WINDOWS\system\hipsrv.mm');
     BC_DeleteFile('C:\WINDOWS\system\hipsrv.mm');
     BC_DeleteSvc('Qpj40');
     BC_DeleteSvc('NdisWon');
     BC_DeleteSvc('asc3550v');
     BC_DeleteSvc('asc355');
     BC_DeleteSvc('hipsrv');
    BC_Activate;
    RebootWindows(true);
    end.
    Если что-то попадет в карантин - пришлите.
    Повторите лог syscheck.
    I am not young enough to know everything...

  7. #6
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40
    сейчас сделаю :-)

  8. #7
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40
    Карантина опять нет. А вот лог syscheck.
    Последний раз редактировалось ghostil; 21.04.2008 в 14:44.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Уже лучше, непонятно только, почему ключи драйверов в реестре не удаляются.
    Сделаем так: Пуск - Выполнить - cmd.
    В окне командной строки последовательно набрать (после каждой строки Enter):
    sc delete Qpj40
    sc delete NdisWon
    sc delete asc3550v
    sc delete asc355
    sc delete hipsrv

    Затем лог syscheck еще раз.
    I am not young enough to know everything...

  10. #9
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40
    В cmd все комнады выполнил. Вот новый лог!
    Последний раз редактировалось ghostil; 21.04.2008 в 14:44.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Отлично!
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Policies\Explorer\Run: [] 
    Поищите файл wowfx.dll через AVZ - Сервис - Поиск файлов...
    Если найдется - пришлите его по правилам, и еще вот этот на всякий случай:
    C:\WINDOWS\system32\Drivers\Beep.sys
    I am not young enough to know everything...

  12. #11
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40
    я пофиксил, но файлик этот AVZ не нашла, к сожалению

    Добавлено через 2 минуты

    а вот beep.sys закачал :-)
    Последний раз редактировалось ghostil; 03.03.2008 в 17:16. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Ничего плохого больше нет.
    Какие-то проблемы остались?
    I am not young enough to know everything...

  14. #13
    Full Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    384
    Вес репутации
    40
    нет, спасибо большое, ничего плохого нет! Компьютер работает нормально!:-)

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1554
    Для полной уверенности beep.sys отправлен на "медицинское освидетельствование" в ЛК, так что загляните попозже за справочкой
    I am not young enough to know everything...

  • Уважаемый(ая) ghostil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. TROJAN HORSE
      От shelib в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 15.10.2009, 20:40
    2. trojan.horse
      От Richik в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.04.2009, 11:21
    3. Trojan horse BHO.BDQ
      От Olezh1g в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 02:29
    4. Trojan Horse и что-то еще
      От ultras в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 01:38
    5. Обнаружил Trojan.Pandex и Trojan Horse
      От IFAX в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 09.01.2008, 17:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01225 seconds with 16 queries