NoAdmin 0 Опубликовано 3 апреля, 2008 Share Опубликовано 3 апреля, 2008 (изменено) KIS 7.0.0.125 обнаружил трояна и благополучно его удалил: удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\WINDOWS\Temp\NT6B32.exe Перегружаю ПК, через некоторое время: удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\WINDOWS\Temp\NT5932.exe Отключаю любую автозагрузку (при помощи: jv16 PowerTools) удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\WINDOWS\Temp\NT5D32.exe Отключаю сеть. Перегружаю. Папка Temp - пуста. Вывод 1. При загрузке ОС загружается из сети вирус. Устанавливаю на KAV - Блокирование сетевого трафика, включаю сеть, перегружаю удалено: троянская программа Trojan-Clicker.Win32.Delf.ug Файл: C:\WINDOWS\Temp\NT5C32.exe Смотрю KAV\Мониторинг сети\Трафик\ там 2 записи: 78.109.28.48.in.hosting.ua | 78.109.28.48 | 32,5 Kb | 1,6 Kb | 195.161.119.248 | 195.161.119.248 | 480 b | 909 b | Т.к. размер файла NT****.exe 30 Кб то повидимому качается от 78.109.28.48 Вопросы: Как заблокировать IP? Как найти инициатора загрузки трояна? Изменено 3 апреля, 2008 пользователем NoAdmin Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 3 апреля, 2008 Share Опубликовано 3 апреля, 2008 Попробуйте Выполнить это http://forum.kasperskyclub.ru/index.php?showtopic=1698 посмотрим логи, что там. Цитата Ссылка на сообщение Поделиться на другие сайты
NoAdmin 0 Опубликовано 3 апреля, 2008 Автор Share Опубликовано 3 апреля, 2008 (изменено) hijackthis.txt sysinfo.txt AVZ virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 3 апреля, 2008 пользователем NoAdmin Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 3 апреля, 2008 Share Опубликовано 3 апреля, 2008 (изменено) Выполните в АВЗ begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\baselbd32.dll',''); BC_ImportAll; BC_Activate; RebootWindows(true); end. Компьтер перезагрузится. Затем выполните в АВЗ begin CreateQurantineArchive(GetAVZDirectory+'quarantinefk4381.zip'); end. Файл quarantinefk4381.zip из Папки в которой находится АВЗ вышлите на адрес 54712@rambler.ru Затем выполните в АВЗ function _DecHex( Dc : Integer) : String; begin Result := Copy('0123456789abcdef',Dc+1,1); end; function DecHex( Dec : Integer) : String; var Di,D1,D2 : integer; begin Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end; If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2); end; procedure ParseString (S : TStringList; SS : String; SSS : String ); var i,l : integer; begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end; end; var SL,SF : TStringList; SS, SSS : String; i : integer; begin SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create; SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows'); ParseString (SL,SS,' '); for i := 0 to SL.Count - 1 do Begin SS := SL[i]; If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end; end; SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end; If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); SF.Add('REGEDIT4'); SF.Add(''); SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]'); SSS := '"Windows"=hex(2):'; for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ','; SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg'); ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false); end; SL.Free; SF.Free; End. Повторите логи(и лог от HJT). Прикрепите также к сообщению SubSystems.log из папки AVZ. P.S. Не вздумайте красавца удалять вручную, он портит реест винду не загрузите Изменено 3 апреля, 2008 пользователем wise-wistful 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Vsoft 13 Опубликовано 3 апреля, 2008 Share Опубликовано 3 апреля, 2008 C:\WINDOWS\JKDEFR~1.SCR подозрительный объект. Скринсейверы так "хорошо" не внедряются в ОС. Цитата Ссылка на сообщение Поделиться на другие сайты
NoAdmin 0 Опубликовано 3 апреля, 2008 Автор Share Опубликовано 3 апреля, 2008 (изменено) C:\WINDOWS\JKDEFR~1.SCR подозрительный объект. Скринсейверы так "хорошо" не внедряются в ОС. Это дефрагментатор! JkDefragScreenSaver.txt Я его сам туда кинул (C:\WINDOWS\) Правда пользовал вариант *.exe Выполните в АВЗ Первые два скрипта выполнил и отправил почтой файл. Кстати у меня, сегодня, в Outlook Express пропали кнопки Антиспама KIS. Как восстановить? Сенкс! P.S. Не вздумайте красавца удалять вручную, он портит реест винду не загрузите Уточните про какого "красавца" идет речь? Изменено 3 апреля, 2008 пользователем NoAdmin Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 3 апреля, 2008 Share Опубликовано 3 апреля, 2008 baselbd32.dll - именно для его удаления и применяется 3 скрипт. Кстати новенький Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 3 апреля, 2008 Share Опубликовано 3 апреля, 2008 Да размножаться начали версии. Цитата Ссылка на сообщение Поделиться на другие сайты
NoAdmin 0 Опубликовано 3 апреля, 2008 Автор Share Опубликовано 3 апреля, 2008 baselbd32.dll - именно для его удаления и применяется 3 скрипт. Кстати новенький Со старенькими KIS справлялся А тут только Ваша аналитика. После выполнения 3 скрипта exe-шник в TEMP не появлялся! Спасибо! (Счас нажму на благодарность) Логи еще нужны? Посоветуете что нибудь по поводу кнопок антиспама в почте? Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 3 апреля, 2008 Share Опубликовано 3 апреля, 2008 (изменено) Да логи нужны глянем что там. Скоро и этого касперкий будет знать, позаботимся об этом. Изменено 3 апреля, 2008 пользователем wise-wistful Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 3 апреля, 2008 Share Опубликовано 3 апреля, 2008 Посоветуете что нибудь по поводу кнопок антиспама в почте? Если офис оутлук, то смотрите справка-отключенные объекты. Цитата Ссылка на сообщение Поделиться на другие сайты
NoAdmin 0 Опубликовано 3 апреля, 2008 Автор Share Опубликовано 3 апреля, 2008 Если офис оутлук, то смотрите справка-отключенные объекты. Не! Outlook Express Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 3 апреля, 2008 Share Опубликовано 3 апреля, 2008 о как, а антиспам включен? Цитата Ссылка на сообщение Поделиться на другие сайты
NoAdmin 0 Опубликовано 3 апреля, 2008 Автор Share Опубликовано 3 апреля, 2008 (изменено) Да логи нужны глянем что там. virusinfo_syscheck.zip virusinfo_syscure.zip SubSystems.txt hijackthis.txt sysinfo.txt о как, а антиспам включен? Да! И даже отрабатывает (ProblemSpam, Spam) Изменено 3 апреля, 2008 пользователем NoAdmin Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 3 апреля, 2008 Share Опубликовано 3 апреля, 2008 В логах врагов нет. Поздравляю Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista". Уже опознали Вашего врага baselbd32.dll - Trojan.Win32.Agent.jig Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.