-
Junior Member
- Вес репутации
- 62
Не могу избавиться от трояна
Помогите, пожалуйста, избавиться от трояна. После удаления он все равно активизируется при загрузке компьютера.
Отправляю лог Hijack. При загрузке двух остальных файлов virusinfo ссылается на мою предыдущюю открытую тему: " Вы уже загружали эти файлы"
http://virusinfo.info/showthread.php?t=27481 По всей вероятности файлы идентичны.
Заранее благодарен,
Сергей
Последний раз редактировалось Sergey100; 12.10.2008 в 18:26.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
удалите старые файлы Мой Кабинет/Вложения
-
-
Junior Member
- Вес репутации
- 62
Посмотрите еще раз, пожалуйста файлы
Отправляю вам три лога, согласно правилам
Последний раз редактировалось Sergey100; 04.03.2009 в 14:07.
-
Что за троян, кто его находит? В каком файле (точный путь)...
-
-
Сообщение от
Sergey100
Отправляю вам три лога, согласно правилам
Вы издеватесь над нами и самим собой. Против второго я ничего не имею. Посмотрите на дату создания логов - и Вы поймете, почему Вы не могли их загрузитьСканирование запущено в 04.08.2008 14:54:35
-
-
Junior Member
- Вес репутации
- 62
Необходимые логи
Прошу прошщение, что ввел в заблуждение, проделал процедуру создания логов заново. Отправляю их повторно.
Троян:
C:\WINDOWS\system32\drivers\343.exe Екщоф
C:\WINDOWS\system32\drivers\453.exe
C:\WINDOWS\system32\drivers\859.exe
C:\WINDOWS\system32\drivers\937.exe
Вирусы:
C:\WINDOWS\system32\drivers\Wing62.sys
C:\WINDOWS\system32\drivers\Winnt16.sys
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось Sergey100; 04.03.2009 в 14:07.
-
скачайте C:\WINDOWS\System32\Drivers\Wincj05.sys - force delete
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winxe27');
DeleteService('Winvc41');
DeleteService('Winqx62');
DeleteService('Winpv74');
DeleteService('Winnt16');
DeleteService('Winls63');
DeleteService('Winjq28');
DeleteService('Wingn74');
DeleteService('Winfl85');
DeleteService('Winel05');
DeleteService('Windj74');
DeleteService('Windj73');
DeleteService('Wincj05');
QuarantineFile('C:\WINDOWS\system32\Drivers\Wincj05.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Wincj05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windj73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windj74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winel05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfl85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingn74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjq28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnt16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqx62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxe27.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 62
Запрвшиваемые файлы
Скрипт выполнен, файл C:\WINDOWS\System32\Drivers\Wincj05.sys удалить не получается.
Карантин отправил, а также повторно выполнил логи
Последний раз редактировалось Sergey100; 04.03.2009 в 14:07.
-
Почему не получается удалить? Нашли, нажали Force Delete и выполнили скрипт...
-
-
Junior Member
- Вес репутации
- 62
-
-
-
Junior Member
- Вес репутации
- 62
Новые логи
Файл C:\WINDOWS\System32\Drivers\Wincj05.sys удалил, после чего выполнил скрипт. Посмотрите, пожалуйста полученные после этого логи.
Последний раз редактировалось Sergey100; 04.03.2009 в 14:07.
-
в IceSword удаление производилось ?
-отключитесь от интернет , выполните рекомендации из поста 8 ...
-
-
Junior Member
- Вес репутации
- 62
Да, удалял через IceSword, попробую повторить с выключенным интернетом. Сбросьте, пожалуйста ссылку на пост 8, это имеет отношение к правилам?
Добавлено через 3 минуты
Скрипт выполнлил через AVZ
Последний раз редактировалось Sergey100; 13.10.2008 в 10:52.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 62
Спасибо за ссылку, сейчас повторю процедуру. Удалить через IceSword, Скрипт выполнить через AVZ, все верно?
-
-
-
Junior Member
- Вес репутации
- 62
Файл по данному пути не находится, повторно удалить не получилось. Выполнил еще раз скрипт,после чего отправил все логи и карантин согласно правилам
Последний раз редактировалось Sergey100; 04.03.2009 в 14:07.
-
В IceSword найдите эти файлы и сделайте Force Delete:
Код:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winnu52.sys
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winnu52');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winnu52.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winnu52');
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
-