-
Full Member
- Вес репутации
- 64
Trojan Horse
Здравствуйте!
Сегодня утром с этого компьютера началась глобальная отправка электронных писем и Symantec стал выдавать сообщения о Trojan Horse, Downloader, e.t.c. Запустил проверку CureIT, и после удаления большинства троянов отсылка писем прекратилась. Но сейчас Symantec стал выдавать сообщение об обнаружении Trojan Horse. Посомтрите, пожалуйста, логи. На данный момент Symantec никаких сообщений не выводит, но вдруг что-то осталось!
Последний раз редактировалось ghostil; 21.04.2008 в 14:44.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Installer\{98ff2aef-64d5-4a5e-afcf-37295c7dd62c}\RamBoot.dll','');
QuarantineFile('C:\WINDOWS\Installer\{81c1175a-de3d-44fc-9392-8b778cbbc396}\zip.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\.//..//~tmp1174.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Kpt04.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\WINDOWS\system32\winlagan.exe','');
QuarantineFile('C:\WINDOWS\system\hipsrv.mm','');
DeleteFile('C:\WINDOWS\system\hipsrv.mm');
DeleteFile('C:\WINDOWS\system32\winlagan.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Kpt04.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\Documents and Settings\Администратор\Рабочий стол\.//..//~tmp1174.exe');
DeleteFile('C:\WINDOWS\Installer\{81c1175a-de3d-44fc-9392-8b778cbbc396}\zip.dll');
DeleteFile('C:\WINDOWS\Installer\{98ff2aef-64d5-4a5e-afcf-37295c7dd62c}\RamBoot.dll');
BC_ImportALL;
BC_DeleteSvc('Qpj40');
BC_DeleteSvc('NdisWon');
BC_DeleteSvc('asc3550v');
BC_DeleteSvc('asc355');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=19036).
Обновите базы AVZ.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Full Member
- Вес репутации
- 64
Скрипт я выполнил, а вот в папке карантина почему-то самого карантина нет. Сейчас обновлю AVZ и сделаю логи! Спасибо большое за оперативный ответ!
-
Full Member
- Вес репутации
- 64
Вот новые логи, жду Вашего ответа с нетерпением!
Последний раз редактировалось ghostil; 21.04.2008 в 14:44.
-
Выполните такой скрипт:
Код:
begin
BC_QrFile('C:\WINDOWS\system\hipsrv.mm');
BC_DeleteFile('C:\WINDOWS\system\hipsrv.mm');
BC_DeleteSvc('Qpj40');
BC_DeleteSvc('NdisWon');
BC_DeleteSvc('asc3550v');
BC_DeleteSvc('asc355');
BC_DeleteSvc('hipsrv');
BC_Activate;
RebootWindows(true);
end.
Если что-то попадет в карантин - пришлите.
Повторите лог syscheck.
I am not young enough to know everything...
-
-
Full Member
- Вес репутации
- 64
-
Full Member
- Вес репутации
- 64
Карантина опять нет. А вот лог syscheck.
Последний раз редактировалось ghostil; 21.04.2008 в 14:44.
-
Уже лучше, непонятно только, почему ключи драйверов в реестре не удаляются.
Сделаем так: Пуск - Выполнить - cmd.
В окне командной строки последовательно набрать (после каждой строки Enter):
sc delete Qpj40
sc delete NdisWon
sc delete asc3550v
sc delete asc355
sc delete hipsrv
Затем лог syscheck еще раз.
I am not young enough to know everything...
-
-
Full Member
- Вес репутации
- 64
В cmd все комнады выполнил. Вот новый лог!
Последний раз редактировалось ghostil; 21.04.2008 в 14:44.
-
Отлично!
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Policies\Explorer\Run: []
Поищите файл wowfx.dll через AVZ - Сервис - Поиск файлов...
Если найдется - пришлите его по правилам, и еще вот этот на всякий случай:
C:\WINDOWS\system32\Drivers\Beep.sys
I am not young enough to know everything...
-
-
Full Member
- Вес репутации
- 64
я пофиксил, но файлик этот AVZ не нашла, к сожалению
Добавлено через 2 минуты
а вот beep.sys закачал :-)
Последний раз редактировалось ghostil; 03.03.2008 в 17:16.
Причина: Добавлено
-
Ничего плохого больше нет.
Какие-то проблемы остались?
I am not young enough to know everything...
-
-
Full Member
- Вес репутации
- 64
нет, спасибо большое, ничего плохого нет! Компьютер работает нормально!:-)
-
Для полной уверенности beep.sys отправлен на "медицинское освидетельствование" в ЛК, так что загляните попозже за справочкой
I am not young enough to know everything...
-