Не удаляется никак - Trojan-Proxy.Win32.Small.np

[Павел12345]

Здраствуйте.

Заранее прошу прощения если что то сделал не так.

Проблема в следуещем - антивирус не удаляет Trojan-proxy.win32.small.np, после загрузки он появляется снова.

Действия описанные тут - http://forum.kasperskyclub.ru/index.php?showtopic=1698 выполнил. Правда не уверен что правильно.

И попутно вопрос: а собственно почему сам антивирус не может удалить этот файл если находит его, и много ли таких файлов в природе?

В общем, если можете помогите. В любом случае спасибо.

i



Уведомление:

С уважением, Falcon

Подправил список загруженных файлов: упаковал syscure в один архив, удалил карантин..

virusinfo_syscure.rar

virusinfo_syscheck.zip

Изменено 5 августа, 2008 пользователем Falcon

[AZЪ]

Павел12345 , добро пожаловать на наш форум. Как только специалисты появятся на форуме, то Вы непременно получите ответ.

Изменено 5 августа, 2008 пользователем Falcon

[Falcon]

Здравствуйте, Павел12345!

Первое, что бросилось в глаза, это файл winlogon.exe, который должен лежать в C:\Windows\System32, а у вас прямо в папке Windows.

Также 90 из 100, что файл mssrv32.exe, который лежит в C:\WINDOWS\system32 - троян-загрузчик (Trojan-Downloader.Win32.Small.evl).

Служба msupdate должна быть убрана имхо.

 

вот пока то, что увидел я:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\system32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
BC_DeleteSvc('msupdate');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Но лучше пока подождем спецов, они наверняка что-нибудь добавят

Изменено 5 августа, 2008 пользователем Falcon

[Максим]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');  
BC_ImportDeletedList;
BC_DeleteSvc('msupdate');	 
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

 

Повторите логи.

[Павел12345]

Спасибо большое!

Выполнил Ваши рекомендации - помогло.

Отдельное спасибо за то, что теперь об этом я знаю больше чем знал до.

[Максим]

Где повторные логи?

[Павел12345]

Где повторные логи?

 

Вот они. Повторюсь - надеюсь я все сделал верно, чесно говоря я не вполне опытный пользователь. и кое что делаю, что называется наощупь.

Почему то их больше трех...

(Проверил весь комп антивирусом - никого не нашел, на всякий случай позвонил провайдеру спросил нет ли с моего адреса рассылки спама, два дня назад так и выяснил что у меня что то не то творится. сказалм что все нормально).

i



Уведомление:

Falcon

Удалил карантин..

virusinfo_syscheck.htm

virusinfo_syscheck.xml

virusinfo_syscheck.zip

virusinfo_syscure.htm

virusinfo_syscure.xml

virusinfo_syscure.zip

hijackthis.rar

Изменено 5 августа, 2008 пользователем Falcon

[Максим]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('msupdate');
SetServiceStart('msupdate', 4);	 
BC_DeleteFile('c:\windows\system32\mssrv32.exe');
BC_DeleteSvc('msupdate');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Повторите логи.

[Павел12345]

Выполнил, повторил. Значит не все так хорошо как мне казалось...

hijackthis.rar

virusinfo_syscheck.htm

virusinfo_syscheck.xml

virusinfo_syscheck.zip

virusinfo_syscure.htm

virusinfo_syscure.xml

virusinfo_syscure.zip

Изменено 5 августа, 2008 пользователем Павел12345

[Максим]

Теперь чисто

[Павел12345]

Ура!

Спасибо. Сам бы во век не разобрался.

[Falcon]

Не за что, обращайтесь