Словил трояна...

**Sulako** · 15.05.2008, 17:04

.., торян занимается рассылкой.
Самому вылечить не удалось. Надеюсь на вас!!!
Прилогаю все логи.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 15.05.2008, 17:11

Отключите антивирус и интернет!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
 QuarantineFile('WLCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Vje22.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Umh76.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Tca77.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ste14.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Oao37.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Mdv74.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Jaq35.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Isf43.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Kmm00.sys','');
 QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
 DeleteService('Mdv74');
 DeleteService('Jaq35');
 DeleteService('Isf43');
 DeleteService('Ste14');     
 DeleteService('Oao37');     
 DeleteService('Umh76');
 DeleteService('Vje22');
 DeleteService('Tca77');
 DeleteService('Kmm00');
 DeleteFile('C:\WINDOWS\System32\Drivers\Kmm00.sys');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Isf43.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jaq35.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Mdv74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Oao37.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ste14.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Tca77.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Umh76.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vje22.sys');
 DeleteFile('WLCtrl32.dll');
 BC_ImportALL;  
 ExecuteSysClean;
 BC_DeleteSvc('Mdv74');
 BC_DeleteSvc('Jaq35');
 BC_DeleteSvc('Isf43');
 BC_DeleteSvc('Ste14');
 BC_DeleteSvc('Oao37');
 BC_DeleteSvc('Umh76');
 BC_DeleteSvc('Vje22');
 BC_DeleteSvc('Tca77');
 BC_DeleteSvc('Kmm00');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=22917

Повторите логи.

**Sulako** · 15.05.2008, 17:26

карантин выслал! Логи скоро вышлю!!
__________________________________________________ ___-
Результат загрузки
Файл сохранён как 080515_082439_virus_482c39973f406.zip
Размер файла 17886
MD5 5f617220a63f80be0d3628fa9ed1cd70

Файл закачан, спасибо!

**Sulako** · 15.05.2008, 17:44

вот логи!

**Sulako** · 15.05.2008, 18:18

вроде больше ни чего не рассылает!!!
жду ответов от Гриша

**Гриша** · 15.05.2008, 18:27

Пофиксить

Код:

O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Bbo57');
 DeleteFile('C:\WINDOWS\System32\Drivers\Bbo57.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Bbo57 ');    
BC_Activate;
RebootWindows(true);
end.

Повторите логи начиная с п.10 правил

**Sulako** · 16.05.2008, 09:49

к сожалению данный комп находится у пользователя!
больше к нему доступа нет!!!
огромное спасибо!!
PS: если не проделывать последние фиксы вирус опять себя проявит или нет??