Помогите, пожалуйста, победить трояна. Откуда взялся - сам не понимаю! Все инструкции выполнил. Скрипты в приложении. Спасибо.
Помогите, пожалуйста, победить трояна. Откуда взялся - сам не понимаю! Все инструкции выполнил. Скрипты в приложении. Спасибо.
Вот такой набор. Выполнить скрипт:
Прислать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\cssrss.exe',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\WINDOWS\system32\digeste.dll',''); QuarantineFile('00000C1D.sys',''); QuarantineFile('C:\WINDOWS\system32\mmmiweiw.dll',''); DeleteFile('C:\WINDOWS\system32\mmmiweiw.dll'); DeleteFile('C:\WINDOWS\system32\digeste.dll'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\WINDOWS\system32\cssrss.exe'); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо! Все выполнил. Логи высылаю. Карантин выслал.
Установите AVZPM и повторите логи AVZ...
'C:\WINDOWS\system32\mmmiweiw.dll' - Backdoor.Win32.Agent.acrj
Выполнить:
Сделать логи AVZ.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\digeste.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Высылаю логи. Спасибо
Вот это было удалено:
cssrss.exe_ - Trojan.Win32.Agent2.xn,
digeste.dll - Trojan.Win32.Inject.nxt
Детектирование файлов будет добавлено в следующее обновление.
mmmiweiw.dll - Backdoor.Win32.Agent.acrj,
services.exe_ - Email-Worm.Win32.Joleee.er
Эти файлы определяются антивирусом. Обновите антивирусные базы
Добавлено через 2 минуты
Остаток дочистим:
Пункт 2 диагностики повторите.Код:begin DeleteFile('c:\windows\system32\digeste.dll'); ExecuteSysClean; end.
Последний раз редактировалось PavelA; 22.01.2009 в 16:19. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Доочистку выполнил. Высылаю логи. Спасибо!
Еще раз.
digeste.dll - придется искать руками через AVZ и удалять. Не хочет она уходить.
Еще вот это поищи: load1.exe
Поищи через AVZ '00000C48.sys' Если найдется, то положи в карантин и пришли.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
digeste.dll, load1.exe, '00000C48.sys' через AVZ не обнаруживаются. Что делать?
Добавлено через 47 минут
Есть только файлы:
'c:\windows\system32\digest.dll'
'c:\windows\system32\dllcache\digest.dll'
(без 'е'),
но в карантин скопировать их у меня не получается.
Жду инструкций.
Последний раз редактировалось Alexey; 22.01.2009 в 21:04. Причина: Добавлено
при помощи Gmer лог сделай.
Добавлено через 32 минуты
Выполнить и повторить логи AVZ.
Код:begin SetAVZPMstatus(true); RebootWindows(true); end.
Последний раз редактировалось PavelA; 23.01.2009 в 16:03. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполнил. Высылаю повторенные логи AVZ.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\sysprep\factory.exe',''); QuarantineFile('C:\Documents and Settings\Oleh\Oleh.exe',''); DeleteService('securentm'); QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys',''); QuarantineFile('\??\C:\WINDOWS\system32\drivers\mjmqgq.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\00000AFD.sys'); DeleteFile('\??\C:\WINDOWS\system32\drivers\mjmqgq.sys'); DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys'); DeleteFile('C:\Documents and Settings\Oleh\Oleh.exe'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\WINDOWS\system32\cssrss.exe'); DeleteFile('C:\WINDOWS\system32\mmmfrzfr.dll'); DeleteFile('digeste.dll'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('securentm'); BC_Activate; RebootWindows(true); end.
Скрипт выполнил. Карантин выслал. Высылаю логи.
Большое спасибо!
в AVZ
Посмотрите этот файлик C:\sysprep\factory.exe. Если он есть, то заахривируйте его с паролей virus и пришлите по правилам.Код:begin BC_DeleteSvc('port135sik'); BC_DeleteSvc('lpvqflpd'); BC_Activate; RebootWindows(true); end.
Логи повторите + лог HiJackThis сделайте.
Скрипт выполнил. Файл C:\sysprep\factory.exe у себя на компьютере не обнаружил.
Высылаю логи и hijackthis.log.
Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\oleh\\oleh.exe - Trojan-Downloader.Win32.Agent.befd (DrWEB: Trojan.DownLoad.2359
- c:\\windows\\services.exe - Email-Worm.Win32.Joleee.er
- c:\\windows\\system32\\cssrss.exe - Trojan.Win32.Agent2.xn
- c:\\windows\\system32\\digeste.dll - Trojan.Win32.Inject.nxt
- c:\\windows\\system32\\drivers\\mjmqgq.sys - Rootkit.Win32.Agent.grs
- c:\\windows\\system32\\mmmiweiw.dll - Backdoor.Win32.Agent.acrj (DrWEB: Trojan.Click.origin)
Уважаемый(ая) Alexey, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.