-
Junior Member
- Вес репутации
- 50
Как избавиться от трояна
Аваст5 находит как Win32:Inject-SW[Trj], Cureit определяет как Win32.HLLW.Druck.5, причем все находят и удаляют, но стоит только подключится к сети, Аваст сразу блокирует объект С:\Windows\system32\??.scr(где ?? - набор цифр), показует заражение Win32:Inject-SW[Trj] и процесс C:\windows\system32\svchost.exe. В сети 16 ПК, заражено 6, все с XP SP1,2. С одного ПК выкладываю логи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\khooker.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте лог Гмер
P.S.
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Я сначала думал что это шутка, windows уже прекратила поддержку второго сервис пака, а у Вас первый. После лечения нужно обязательно обновить систему, иначе лечить будем ещё очень долго и нудно.
-
-
Junior Member
- Вес репутации
- 50
Здравствуйте, карантин выслала. Gmer.log прикрепляю. Ситуация та же, вирус все время рождается и блокируется антивирусом.
-
- Сохраните текст ниже как 1.bat в ту же папку, где находится oxboskl3.exe (GMER) и запустите этот батник(1.bat):
Код:
oxboskl3.exe -del service wcvomie
oxboskl3.exe -del file "C:\WINDOWS\System32\gtobr.dll"
oxboskl3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wcvomie"
oxboskl3.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wcvomie"
oxboskl3.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 50
Здравствуйте, прикрепляю лог.
-
Профиксите в HijackThis
Код:
O20 - Winlogon Notify: reset5 - reset5.dll (file missing)
В остальном подозрительного нет.
Обновите систему
- SP1 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
-
-
Junior Member
- Вес репутации
- 50
Спасибо за помощь, после лечения и обновления атаки прекратились.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-