Подозрение на Троян

[gorvit82]

Здравствуйте.
Хочу у вас опять попросить помощи.
На работе коллега заразил комп свой. Нортон ноходит 9 файлов, хотя в отчете остаются только 4 и обзывает их: PHP.RSTBackdoor virus и 3*Hacktool virus.
Хотя при загрузке системы тот же нортон все время пытается заблокировать Трояна.

[Макcим]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\r_server.exe','');
RebootWindows(true);
end.

После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
Сообщите путь и имя файлов на которые ругается нортон.

[gorvit82]

Нортон выдавал следующие файлы:

The compressed file r57shell.php within G:\DISTRIBUTIV\Электронные продукты для сайта +++\Wmshop 8 от петиlaza.rar is infected with the PHP.RSTBackdoor virus.
The compressed file redirect.php within G:\DISTRIBUTIV\Электронные продукты для сайта +++\Wmshop 8 от петиlaza.rar is infected with the Hacktool virus.
The compressed file tovar.php within C:\Documents and Settings\ВаВан\Рабочий стол\ВСЕ ЭЛЕКТРОННЫЕ ТОВАРЫ\ЭЛЕКТРОННЫЕ продажа NEW\Скрипт магазина\45976_t119u1610w2282o1421c1904f1645p406b1 820z3024q3829y3052.rar is infected with the Hacktool virus.
The compressed file tovar.php within G:\DISTRIBUTIV\Электронные продукты для сайта +++\Магазины\Скрипт магазина\45976_t119u1610w2282o1421c1904f1645p406b1 820z3024q3829y3052.rar is infected with the Hacktool virus.

[gorvit82]

Карантин вечером принесу.

[Макcим]

Захватите заодно и вышеперечисленные файлы. Заархивируйте их под пароль virus и пришлите вместе с карантином по правилам раздела.

[PavelA]

1.На компьютер r_admin сами устанавливали?

2. Там заблокирован regedit. Это сделано Вами самими или вирусом?
Если не Вами, то выполните скрипт:

Код:

begin
ExecuteRepair(6);
end.

3. В дополнение к скрипту от MaXim: Выполните скрипт. Получившийся карантин загрузите через форму для загрузки.

Код:

begin
QuarantineFile('G:\ФЛЭШКА 1\_____МОИ  САЙТЫ______\____САЙТЫ____\PLATIWM.IMFO_20\ВСЕ ТОВАРЫ\Электронные   товары\Новая папка\2\neosap.rar' ,'');
QuarantineFile('G:\ФЛЭШКА 1\_____МОИ  САЙТЫ______\____САЙТЫ____\PLATIWM.IMFO_20\ВСЕ ТОВАРЫ\ТОВАРЫ\34.rar','');
end.

[gorvit82]

R_admin устанавливал, по-моему, коллега себе (если я не путаю, он управлял с помощью этой проги аппаратурой по сети).
Сегодня могу выложить только карантин после второго поста (компьютер на работе).

[gorvit82]

Карантин залил.

Файл сохранён как 070320_180304_virus_45fff7a80f643.zip
Размер файла 1241817
MD5 b542dd5138e533e7ddfb9d8cfe0a4171

А код второго пункта поста 6 надо выполнить или нет? Даже если прогу сами ставили.

[PavelA]

Если нужен доступ к реестру, то нужно. А так вобщем-то можно и с этим жить. Есть у нас клиенты, которым специально это закрыли.

Флешкины файлы с подозрениями, но не более. Надо бы их чем-нибудь, акромя virustotal проверить.

[Макcим]

Присланные файлы (По Kaspersky)
Backdoor.PHP.Rst.g - r57shell.php
not-a-virus:RemoteAdmin.PHP.RemView.a - redirect.php
not-a-virus:RemoteAdmin.PHP.RemView.a - tovar.php

[gorvit82]

Подозрительные файлы из поста 3 закачал:

Файл сохранён как 070321_180031_virus_files_4601488f2bc18.zip

Карантин после выполнения скрипта поста 6 закачал. Он один-в-один как и карантин после выполнения скрипта поста 2.

Файл сохранён как 070321_181315_virus_quarant_46014b8b2f026.zip

Каковы мои следующие действия?