Перейти к содержанию
Авторизация  
gato

Trojan-Proxy.Win32.Small.vo

Рекомендуемые сообщения

При запуска компьютера КИС-2009 сообщает, что C:\WINDOWS\file.bat содержит Trojan-Proxy.Win32.Small.vo и рекомендует лечение, требующее перезагрузки. Согласие и лечение ничего не дают, несмотря на многократные повторы.

Прилагаю файлы результатов анализа с помощью AVZ и HijackThis

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis_log.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

Добро пожаловать на форум!

Наши специалисты по AVZ скриптам обязательно Вам помогут!

они в этом деле не одну "собаку" съели! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мы собаками не питаемся :huh:

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\avperwqu.SYS');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\Program Files\MyCentria\InfoBar\MyCentriaInfoBar.dll');
BC_Activate;
BC_ImportALL;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Это Ваш провайдер? (вернее какой из них ваш :) )

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{86DA7ED3-0760-4B35-AF2A-C8804C92A4B6}: NameServer = 10.104.40.199,10.100.18.199
O17 - HKLM\System\CCS\Services\Tcpip\..\{98873F98-CCEE-42B2-85D8-C21F64BAEB19}: NameServer = 212.188.4.10,195.34.32.116
O17 - HKLM\System\CS1\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130
O17 - HKLM\System\CS2\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130

 

Повторите логи

Изменено пользователем akoK

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо огромное, akoK!

После выполнения первого скрипта и перезагрузки сообщение о трояне наконец-то не возникло. Полученный по втрому скрипту архив отправил по указанному адресу newvirus@kaspersky.com

Но я не понял, что должен сделать с третьим кодом, который после вопроса о провайдере.

И что значит - Повторите логи

?

Извините, я не слишком продвинутый пользователь :)

 

 

 

 

Мы собаками не питаемся :)

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\avperwqu.SYS');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\Program Files\MyCentria\InfoBar\MyCentriaInfoBar.dll');
BC_Activate;
BC_ImportALL;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Это Ваш провайдер? (вернее какой из них ваш :cray: )

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{86DA7ED3-0760-4B35-AF2A-C8804C92A4B6}: NameServer = 10.104.40.199,10.100.18.199
O17 - HKLM\System\CCS\Services\Tcpip\..\{98873F98-CCEE-42B2-85D8-C21F64BAEB19}: NameServer = 212.188.4.10,195.34.32.116
O17 - HKLM\System\CS1\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130
O17 - HKLM\System\CS2\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130

 

Повторите логи

 

 

Забыл добавить, что у меня 2 провайдера, akoK, - Корвет-телеком и МГТС по телефонной линии как дублирующая система при отказах на линии Корвета.

Gato

 

 

Спасибо огромное, akoK!

После выполнения первого скрипта и перезагрузки сообщение о трояне наконец-то не возникло. Полученный по втрому скрипту архив отправил по указанному адресу newvirus@kaspersky.com

Но я не понял, что должен сделать с третьим кодом, который после вопроса о провайдере.

И что значит - Повторите логи ?

Извините, я не слишком продвинутый пользователь :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это значит выполнить правила заново и выложить результат сюда для контроля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это значит выполнить правила заново и выложить результат сюда для контроля.

 

 

Спасибо, Falcon!

Собственно, я так и думал, но решил удостовериться. Правила повторил, результаты прилагаю.

Можно ли теперь включить опцию Восстановление системных файлов? Провести перед этим дефрагментацию диска С или не надо?

И что там за подозрение на вирус в одном из dll в Nero Vizion? Надо ли мне с этим что-то делать? Сказано, что этот файл успешно помещен в карантин.

Gato

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Чисто. Какие проблемы еще наблюдаются?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Чисто. Какие проблемы еще наблюдаются?

 

Спасибо еще раз. По части вирусов в данный момент КИС-2009 проблем не усматривает.

Опцию Восстановление системных файлов на диске С уже включил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...