Троян. Backdoor

**Alexey** · 22.01.2009, 11:22

Помогите, пожалуйста, победить трояна. Откуда взялся - сам не понимаю! Все инструкции выполнил. Скрипты в приложении. Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 22.01.2009, 11:45

Вот такой набор. Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
 QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
 QuarantineFile('00000C1D.sys','');
 QuarantineFile('C:\WINDOWS\system32\mmmiweiw.dll','');
 DeleteFile('C:\WINDOWS\system32\mmmiweiw.dll');
 DeleteFile('C:\WINDOWS\system32\digeste.dll');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать новые логи.

Загрузить карантин по Правилам.

**Alexey** · 22.01.2009, 12:24

Спасибо! Все выполнил. Логи высылаю. Карантин выслал.

**Гриша** · 22.01.2009, 12:31

Установите AVZPM и повторите логи AVZ...

**PavelA** · 22.01.2009, 12:37

'C:\WINDOWS\system32\mmmiweiw.dll' - Backdoor.Win32.Agent.acrj
Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\digeste.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать логи AVZ.

**Alexey** · 22.01.2009, 16:02

Высылаю логи. Спасибо

**PavelA** · 22.01.2009, 16:19

Вот это было удалено:

cssrss.exe_ - Trojan.Win32.Agent2.xn,
digeste.dll - Trojan.Win32.Inject.nxt

Детектирование файлов будет добавлено в следующее обновление.

mmmiweiw.dll - Backdoor.Win32.Agent.acrj,
services.exe_ - Email-Worm.Win32.Joleee.er

Эти файлы определяются антивирусом. Обновите антивирусные базы

Добавлено через 2 минуты

Остаток дочистим:

Код:

begin
 DeleteFile('c:\windows\system32\digeste.dll');
ExecuteSysClean;
end.

Пункт 2 диагностики повторите.

**Alexey** · 22.01.2009, 18:41

Доочистку выполнил. Высылаю логи. Спасибо!

**Alexey** · 22.01.2009, 18:48

Еще раз.

**PavelA** · 22.01.2009, 19:43

digeste.dll - придется искать руками через AVZ и удалять. Не хочет она уходить.
Еще вот это поищи: load1.exe
Поищи через AVZ '00000C48.sys' Если найдется, то положи в карантин и пришли.

**Alexey** · 22.01.2009, 21:04

digeste.dll, load1.exe, '00000C48.sys' через AVZ не обнаруживаются. Что делать?

Добавлено через 47 минут

Есть только файлы:
'c:\windows\system32\digest.dll'
'c:\windows\system32\dllcache\digest.dll'
(без 'е'),
но в карантин скопировать их у меня не получается.
Жду инструкций.

**PavelA** · 23.01.2009, 16:03

при помощи Gmer лог сделай.

Добавлено через 32 минуты

Выполнить и повторить логи AVZ.

Код:

begin
SetAVZPMstatus(true);
RebootWindows(true);
end.

**Alexey** · 23.01.2009, 18:15

Выполнил. Высылаю повторенные логи AVZ.

**Гриша** · 23.01.2009, 20:49

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\sysprep\factory.exe','');
 QuarantineFile('C:\Documents and Settings\Oleh\Oleh.exe','');
 DeleteService('securentm');
 QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
 QuarantineFile('\??\C:\WINDOWS\system32\drivers\mjmqgq.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\00000AFD.sys');
 DeleteFile('\??\C:\WINDOWS\system32\drivers\mjmqgq.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
 DeleteFile('C:\Documents and Settings\Oleh\Oleh.exe');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('C:\WINDOWS\system32\cssrss.exe');
 DeleteFile('C:\WINDOWS\system32\mmmfrzfr.dll');
 DeleteFile('digeste.dll');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('securentm');    
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

**Alexey** · 24.01.2009, 15:07

Скрипт выполнил. Карантин выслал. Высылаю логи.
Большое спасибо!

**light59** · 24.01.2009, 15:31

в AVZ

Код:

begin
 BC_DeleteSvc('port135sik');
 BC_DeleteSvc('lpvqflpd');
BC_Activate;
RebootWindows(true);
end.

Посмотрите этот файлик C:\sysprep\factory.exe. Если он есть, то заахривируйте его с паролей virus и пришлите по правилам.
Логи повторите + лог HiJackThis сделайте.

**Alexey** · 24.01.2009, 16:42

Скрипт выполнил. Файл C:\sysprep\factory.exe у себя на компьютере не обнаружил.
Высылаю логи и hijackthis.log.
Спасибо.

**CyberHelper** · 22.02.2009, 10:11

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 6
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\oleh\\oleh.exe - Trojan-Downloader.Win32.Agent.befd (DrWEB: Trojan.DownLoad.2359
2. c:\\windows\\services.exe - Email-Worm.Win32.Joleee.er
3. c:\\windows\\system32\\cssrss.exe - Trojan.Win32.Agent2.xn
4. c:\\windows\\system32\\digeste.dll - Trojan.Win32.Inject.nxt
5. c:\\windows\\system32\\drivers\\mjmqgq.sys - Rootkit.Win32.Agent.grs
6. c:\\windows\\system32\\mmmiweiw.dll - Backdoor.Win32.Agent.acrj (DrWEB: Trojan.Click.origin)

Троян. Backdoor (заявка № 37989)

Опции темы

Троян. Backdoor

Итог лечения

Похожие темы

троян backdoor.win32.Kbot.bey

Троян Backdoor.Win32.IRCBot.nwm

Троян Backdoor.Win32.Iroffer.z

Троян Backdoor.Win32.Haxdoor.kz

Троян с функционалом backdoor-Singu.AM

Ваши права в разделе