-
Junior Member
- Вес репутации
- 65
Подозрение на Троян
Здравствуйте.
Хочу у вас опять попросить помощи.
На работе коллега заразил комп свой. Нортон ноходит 9 файлов, хотя в отчете остаются только 4 и обзывает их: PHP.RSTBackdoor virus и 3*Hacktool virus.
Хотя при загрузке системы тот же нортон все время пытается заблокировать Трояна.
Последний раз редактировалось gorvit82; 19.04.2007 в 00:11.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\r_server.exe','');
RebootWindows(true);
end.
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
Сообщите путь и имя файлов на которые ругается нортон.
-
-
Junior Member
- Вес репутации
- 65
Нортон выдавал следующие файлы:
The compressed file r57shell.php within G:\DISTRIBUTIV\Электронные продукты для сайта +++\Wmshop 8 от петиlaza.rar is infected with the PHP.RSTBackdoor virus.
The compressed file redirect.php within G:\DISTRIBUTIV\Электронные продукты для сайта +++\Wmshop 8 от петиlaza.rar is infected with the Hacktool virus.
The compressed file tovar.php within C:\Documents and Settings\ВаВан\Рабочий стол\ВСЕ ЭЛЕКТРОННЫЕ ТОВАРЫ\ЭЛЕКТРОННЫЕ продажа NEW\Скрипт магазина\45976_t119u1610w2282o1421c1904f1645p406b1 820z3024q3829y3052.rar is infected with the Hacktool virus.
The compressed file tovar.php within G:\DISTRIBUTIV\Электронные продукты для сайта +++\Магазины\Скрипт магазина\45976_t119u1610w2282o1421c1904f1645p406b1 820z3024q3829y3052.rar is infected with the Hacktool virus.
-
Junior Member
- Вес репутации
- 65
Карантин вечером принесу.
-
Захватите заодно и вышеперечисленные файлы. Заархивируйте их под пароль virus и пришлите вместе с карантином по правилам раздела.
-
-
1.На компьютер r_admin сами устанавливали?
2. Там заблокирован regedit. Это сделано Вами самими или вирусом?
Если не Вами, то выполните скрипт:
Код:
begin
ExecuteRepair(6);
end.
3. В дополнение к скрипту от MaXim: Выполните скрипт. Получившийся карантин загрузите через форму для загрузки.
Код:
begin
QuarantineFile('G:\ФЛЭШКА 1\_____МОИ САЙТЫ______\____САЙТЫ____\PLATIWM.IMFO_20\ВСЕ ТОВАРЫ\Электронные товары\Новая папка\2\neosap.rar' ,'');
QuarantineFile('G:\ФЛЭШКА 1\_____МОИ САЙТЫ______\____САЙТЫ____\PLATIWM.IMFO_20\ВСЕ ТОВАРЫ\ТОВАРЫ\34.rar','');
end.
Последний раз редактировалось Макcим; 02.05.2007 в 17:14.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 65
R_admin устанавливал, по-моему, коллега себе (если я не путаю, он управлял с помощью этой проги аппаратурой по сети).
Сегодня могу выложить только карантин после второго поста (компьютер на работе).
-
Junior Member
- Вес репутации
- 65
Карантин залил.
Файл сохранён как 070320_180304_virus_45fff7a80f643.zip
Размер файла 1241817
MD5 b542dd5138e533e7ddfb9d8cfe0a4171
А код второго пункта поста 6 надо выполнить или нет? Даже если прогу сами ставили.
-
Если нужен доступ к реестру, то нужно. А так вобщем-то можно и с этим жить. Есть у нас клиенты, которым специально это закрыли.
Флешкины файлы с подозрениями, но не более. Надо бы их чем-нибудь, акромя virustotal проверить.
Последний раз редактировалось PavelA; 20.03.2007 в 18:54.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Присланные файлы (По Kaspersky)
Backdoor.PHP.Rst.g - r57shell.php
not-a-virus:RemoteAdmin.PHP.RemView.a - redirect.php
not-a-virus:RemoteAdmin.PHP.RemView.a - tovar.php
-
-
Junior Member
- Вес репутации
- 65
Подозрительные файлы из поста 3 закачал:
Файл сохранён как 070321_180031_virus_files_4601488f2bc18.zip
Карантин после выполнения скрипта поста 6 закачал. Он один-в-один как и карантин после выполнения скрипта поста 2.
Файл сохранён как 070321_181315_virus_quarant_46014b8b2f026.zip
Каковы мои следующие действия?