Junior Member
Вес репутации
59
Не могу избавиться от трояна
На машине стоит Norton Internet Securitu 2007. В какой-то момент выдался алерт о возможном заражении вирусом. Система безопасности предложила немедленно перегрузить машину для завершения лечения. После перезагрузки, преложения перестали запускаться. Это я исправил с помощью AVZ. Cureit обнаружил кучу троянов - вроде поубивал. Но после всех дел в разделе Windows\Temp появляются файлы BN*.TMP. Эти же приложения наблюдаются в списке процессов.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Xdn70.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uvg35.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ttl57.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qct77.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pbs33.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ohy42.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Obw72.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gyc24.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ET5Drv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dps70.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dyx31.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dsk04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Cav83.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bcm46.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Bcm46.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Cav83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Dsk04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Dyx31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Dps70.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gyc24.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Obw72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ohy42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pbs33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qct77.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ttl57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ukn83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uvg35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xdn70.sys');
DeleteFile('WLCtrl32.dll');
BC_ImportAll;
BC_DeleteSvc('Gyc24');
BC_DeleteSvc('Qct77');
BC_DeleteSvc('Dyx31');
BC_DeleteSvc('Dsk04');
BC_DeleteSvc('Dps70');
BC_DeleteSvc('Cav83');
BC_DeleteSvc('Bcm46');
BC_DeleteSvc('Pbs33');
BC_DeleteSvc('Ohy42');
BC_DeleteSvc('Obw72');
BC_DeleteSvc('Xdn70');
BC_DeleteSvc('Uvg35');
BC_DeleteSvc('Ukn83');
BC_DeleteSvc('Ttl57');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21100
Повторите логи.
Последний раз редактировалось wise-wistful; 06.04.2008 в 15:11 .
Junior Member
Вес репутации
59
Карантин выслал.
Вот повторные логи:
Вложения
Выполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\Ama24.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ejt13.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mym70.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Mym70');
BC_DeleteSvc('Ejt13');
BC_DeleteSvc('Ama24');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Профиксите
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
Повторите логи.
Добавлено через 2 минуты
В карантин попал WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.da (удалили уже)
Последний раз редактировалось wise-wistful; 06.04.2008 в 15:12 .
Причина: Добавлено
Junior Member
Вес репутации
59
Вложения
Как система? В логах врагов не видать.
Junior Member
Вес репутации
59
Пока всё тихо.
По крайней мере, тех симптомов, что были раньше - уже нет.
Возникнут траблы - буду обращаться.
Спасибо Вам огромное за оперативную работу!
Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 2 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.da (DrWEB: Trojan.DownLoader.54123)