[Лог!] Троян

[sima]

Здравствуйте! Необходимо вылечить комп от трояна:Win32/TrojanProxy.Small.Mu Касперский его блокирует,но не удаляет...При лечении комп перезагружается,проблема остаётся.

Спасибо.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Falcon]

Для начала выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\WINDOWS\services.exe ');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\epfwtdir.sys',' ');
QuarantineFile('C:\Documents and Settings\SIMA\Local Settings\Application Data\Google\Update\GoogleUpdate.exe',' ');
QuarantineFile('C:\Program Files\VolumeControl2\LouderIt.exe',' ');
DeleteService('ksi32sk');
DeleteService('gdrv');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\gdrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\winhelp.exe');
BC_ImportAll;
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('gdrv ');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем пофиксить в HJT:

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\winhelp.exe
O20 - Winlogon Notify: rssync - C:\WINDOWS\

 

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите. Логи повторите.

Изменено 26 января, 2009 пользователем Falcon

[alexand]

после AVZ в HJT того что в коде прописано нет.и вообще что этот троян делает?

[SLASH_id]

alexand

Логи повторите.

 

У вас разновидность этого: http://www.viruslist.com/ru/viruses/encycl...a?virusid=41180

[alexand]

ну а AVZ я повторил а вот в HJT опять же того что в коде написано нет.т.е. он тырит пароли и т.д.?и еще он отрубает брендмауер...

Изменено 9 апреля, 2009 пользователем alexand

[SLASH_id]

Вы не поняли.

 

Сделайте новые логи.

[alexand]

честно не пойму тогда что значит новые логи сделать и интересно почему в HJT того что в коде написано нет

[INC®]

честно не пойму тогда что значит новые логи сделать и интересно почему в HJT того что в коде написано нет

Выполните правила: http://forum.kasperskyclub.ru/index.php?showtopic=1698

[Venus Doom]

У меня было такое, services.exe Email-worm.win32.Joleee. Распространяется через взломанные веб-сайты.

Small.mu - C:\WINDOWS\file.bat ? Все легко и прекрасно удаляется, нужно остановить процесс services.exe, это он создает снова и снова file.bat

[ТроПа]

отправьте карантин по электронной почте на адрес newvirus@kaspersky.com

Вы отправляли? Получили ответ?

после AVZ в HJT того что в коде прописано нет

странно, строка O20 - Winlogon Notify: rssync - C:\WINDOWS\ - должна была остаться.

Ну и естественно новый комплект логов ждём.