-
Junior Member
- Вес репутации
- 57
Поймал трояна.
Доброго вечера,
наконец, бухгалтерия доигралась - многие программы блокируются, АВИРА не устанавливается, логи к Вам могу отправить только чз флешку - напрямую при соединении выдает ошибку. Выложил логи согласно Правилам - Джек не работает.
Алексей.
Последний раз редактировалось Sibirian; 23.07.2009 в 12:07.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\com\lsass.exe');
TerminateProcessByName('c:\windows\system32\com\smss.exe');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\pagefile.pif','');
QuarantineFile('C:\WINDOWS\system32\MsSip3.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip2.dll','');
QuarantineFile('C:\WINDOWS\system32\MsSip1.dll','');
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
QuarantineFile('c:\windows\system32\com\smss.exe','');
QuarantineFile('c:\windows\system32\com\lsass.exe','');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 57
Выполнил.
джек так и не проходит.
к нету пройти не могу - делает вид, что не понимает шрифт в ком строке.
Выкладываю логи 2,3
Помогайте( Мне его утром сдавать(
Добавлено через 3 минуты
Как карантин прислать - я чз флешку (туда-сюда) работаю - там не архив(
Вот логи - сорри(
Еле как врямую зашел, с зараженного - плз, как сформировать карантин?
Алексей.
Добавлено через 1 час 1 минуту
Ребята - я вас очень уважаю - но полтора - два часа перед ответом - плз, помогите)
Алексей
Последний раз редактировалось Sibirian; 23.07.2009 в 12:07.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SetAVZGuardStatus(True);
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\NetApi000.sys');
DeleteFile('C:\WINDOWS\System32\drivers\alg.exe');
DeleteFile('C:\037589.log');
DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('G:\autorun.inf');
DeleteFileMask('c:\', 'lsass.exe.*', false);
DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.
Повторите логи...
-
-
Junior Member
- Вес репутации
- 57
Здравствуйте, Гриша)
Чертовски рад видеть)
Выкладываю - мнеб до АВИРЫ добраться)
Алексей.
ЗЫ - завтра еще один принесу - флешка - замечательное изобретение(
Последний раз редактировалось Sibirian; 23.07.2009 в 12:07.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('msile');
DeleteFile('C:\WINDOWS\system\msile.exe');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\pagefile.pif');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('msile');
BC_Activate;
RebootWindows(true);
end.
Сделайте полную проверку AVPTool и повторите логи...
-
-
Junior Member
- Вес репутации
- 57
Вот - зделал все.
Выкладываю логи.
Последний раз редактировалось Sibirian; 23.07.2009 в 12:07.
-
В логах чисто, установите SP3+all updates...
-
-
Junior Member
- Вес репутации
- 57
Спс Гриша - Вы спаситель) До завтра - помните - флешки(
Алексей.