Trojan-Proxy.Win32.Small.np

[Miss_s]

Касперский находит вот такой вирус Trojan-Proxy.Win32.Small.np

Вроде лечит, перезагружается и ... опять его находит.

Ругается в основном на С:\WINDOWS\winlogon.exe и в автозагрузке он появился

Вручную не удаляется, из автозагрузки тоже не удаляется и процесс не могу закрыть

Хелп

 

вот третий лог

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

[ТроПа]

Отключите Восстановление системы.

Определитесь с антивирусом, который Вы оставите, а который удалите.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\uqsqprpt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ljhtlwogokm.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ljhtlwogokm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\uqsqprpt.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\System Volume Information\_restore{3112C9DE-311B-4AEB-90E5-A0865BA3D404}\RP1\A0000027.exe');
BC_ImportAll;
BC_DeleteSvc('uqsqprpt');
BC_DeleteSvc('synsend');
BC_DeleteSvc('nncwvkvmfegolze');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

Повторите логи.

Изменено 13 октября, 2008 пользователем wise-wistful

[Miss_s]

Спасибо

Вроде чисто

Вирусный лист отправила, логи ловите

 

слегка переименовала - отправляться не хотел)))

 

поняла, надо было архивный файл отправить

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.txt

hijackthis.rar

[ТроПа]

Пофиксите в HijackThis следующую строчку

O20 - Winlogon Notify: cryptlnk - cryptlnk.dll (file missing)

[Miss_s]

Сделано

Восстановление системы уже можно включить?

[Miss_s]

"No malicious code were found in these files.

 

Please quote all when answering."

Вот что ответили из лаборатории касперского... непонятно, а антивирусник на них ругался

[ROME'D'ROS]

"No malicious code were found in these files.

 

Please quote all when answering."

Вот что ответили из лаборатории касперского... непонятно, а антивирусник на них ругался

Вредоносного кода в файле не обнаружено

[Miss_s]

Вот потому и непонятно, что на эти файлы и каспер и доктор веб ругались

[ТроПа]

Да кто их знает на эти или нет. Перешлите П карантин (файл quarantine.zip из папки AVZ) на адрес 54712@ramdler.ru и ссылку на тему дайте.

Восстановление системы можете включать.

[zaz]

После выполнения скрипта вирус вроде пропал но компьютер постоянно ломится в интернет.... загрузка процессора около 80%, выключаешь сеть - все отлично... ?

[ТроПа]

zaz, а почему Вы считаете, что эти скрипты должны вам помочь? Откройте свою тему, выложите логи и постараемся Вам помочь.