Trojan-Proxy.Win32.Small.vo

29 ноября, 2008

При запуска компьютера КИС-2009 сообщает, что C:\WINDOWS\file.bat содержит Trojan-Proxy.Win32.Small.vo и рекомендует лечение, требующее перезагрузки. Согласие и лечение ничего не дают, несмотря на многократные повторы.

Прилагаю файлы результатов анализа с помощью AVZ и HijackThis

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis_log.zip

29 ноября, 2008

Здравствуйте!

Добро пожаловать на форум!

Наши специалисты по AVZ скриптам обязательно Вам помогут!

они в этом деле не одну "собаку" съели!

29 ноября, 2008

Мы собаками не питаемся

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\avperwqu.SYS');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\Program Files\MyCentria\InfoBar\MyCentriaInfoBar.dll');
BC_Activate;
BC_ImportALL;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

Это Ваш провайдер? (вернее какой из них ваш )

O17 - HKLM\System\CCS\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{86DA7ED3-0760-4B35-AF2A-C8804C92A4B6}: NameServer = 10.104.40.199,10.100.18.199
O17 - HKLM\System\CCS\Services\Tcpip\..\{98873F98-CCEE-42B2-85D8-C21F64BAEB19}: NameServer = 212.188.4.10,195.34.32.116
O17 - HKLM\System\CS1\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130
O17 - HKLM\System\CS2\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130

Повторите логи

Изменено 29 ноября, 2008 пользователем akoK

29 ноября, 2008

Спасибо огромное, akoK!

После выполнения первого скрипта и перезагрузки сообщение о трояне наконец-то не возникло. Полученный по втрому скрипту архив отправил по указанному адресу newvirus@kaspersky.com

Но я не понял, что должен сделать с третьим кодом, который после вопроса о провайдере.

И что значит - Повторите логи

?

Извините, я не слишком продвинутый пользователь

Мы собаками не питаемся

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\avperwqu.SYS');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\Program Files\MyCentria\InfoBar\MyCentriaInfoBar.dll');
BC_Activate;
BC_ImportALL;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

Это Ваш провайдер? (вернее какой из них ваш )
O17 - HKLM\System\CCS\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{86DA7ED3-0760-4B35-AF2A-C8804C92A4B6}: NameServer = 10.104.40.199,10.100.18.199
O17 - HKLM\System\CCS\Services\Tcpip\..\{98873F98-CCEE-42B2-85D8-C21F64BAEB19}: NameServer = 212.188.4.10,195.34.32.116
O17 - HKLM\System\CS1\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130
O17 - HKLM\System\CS2\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130
Повторите логи

Забыл добавить, что у меня 2 провайдера, akoK, - Корвет-телеком и МГТС по телефонной линии как дублирующая система при отказах на линии Корвета.

Gato

Спасибо огромное, akoK!
После выполнения первого скрипта и перезагрузки сообщение о трояне наконец-то не возникло. Полученный по втрому скрипту архив отправил по указанному адресу newvirus@kaspersky.com

Но я не понял, что должен сделать с третьим кодом, который после вопроса о провайдере.

И что значит - Повторите логи ?

Извините, я не слишком продвинутый пользователь

29 ноября, 2008

Это значит выполнить правила заново и выложить результат сюда для контроля.

30 ноября, 2008

Это значит выполнить правила заново и выложить результат сюда для контроля.

Спасибо, Falcon!

Собственно, я так и думал, но решил удостовериться. Правила повторил, результаты прилагаю.

Можно ли теперь включить опцию Восстановление системных файлов? Провести перед этим дефрагментацию диска С или не надо?

И что там за подозрение на вирус в одном из dll в Nero Vizion? Надо ли мне с этим что-то делать? Сказано, что этот файл успешно помещен в карантин.

Gato

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

30 ноября, 2008

Чисто. Какие проблемы еще наблюдаются?

30 ноября, 2008

Чисто. Какие проблемы еще наблюдаются?

Спасибо еще раз. По части вирусов в данный момент КИС-2009 проблем не усматривает.

Опцию Восстановление системных файлов на диске С уже включил.

Trojan-Proxy.Win32.Small.vo

Рекомендуемые сообщения

gato

Ссылка на комментарий

Поделиться на другие сайты

Олег777

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

gato

Ссылка на комментарий

Поделиться на другие сайты

Falcon

Ссылка на комментарий

Поделиться на другие сайты

gato

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

gato

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum