Перейти к содержанию
Авторизация  
sima

[Лог!] Троян

Рекомендуемые сообщения

Здравствуйте! Необходимо вылечить комп от трояна:Win32/TrojanProxy.Small.Mu Касперский его блокирует,но не удаляет...При лечении комп перезагружается,проблема остаётся.

Спасибо.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для начала выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\WINDOWS\services.exe ');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\epfwtdir.sys',' ');
QuarantineFile('C:\Documents and Settings\SIMA\Local Settings\Application Data\Google\Update\GoogleUpdate.exe',' ');
QuarantineFile('C:\Program Files\VolumeControl2\LouderIt.exe',' ');
DeleteService('ksi32sk');
DeleteService('gdrv');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\gdrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\winhelp.exe');
BC_ImportAll;
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('gdrv ');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем пофиксить в HJT:

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\winhelp.exe
O20 - Winlogon Notify: rssync - C:\WINDOWS\

 

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите. Логи повторите.

Изменено пользователем Falcon

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

после AVZ в HJT того что в коде прописано нет.и вообще что этот троян делает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

alexand

Логи повторите.

 

У вас разновидность этого: http://www.viruslist.com/ru/viruses/encycl...a?virusid=41180

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ну а AVZ я повторил а вот в HJT опять же того что в коде написано нет.т.е. он тырит пароли и т.д.?и еще он отрубает брендмауер...

Изменено пользователем alexand

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы не поняли.

 

Сделайте новые логи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

честно не пойму тогда что значит новые логи сделать и интересно почему в HJT того что в коде написано нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
честно не пойму тогда что значит новые логи сделать и интересно почему в HJT того что в коде написано нет

Выполните правила: http://forum.kasperskyclub.ru/index.php?showtopic=1698

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У меня было такое, services.exe Email-worm.win32.Joleee. Распространяется через взломанные веб-сайты.

Small.mu - C:\WINDOWS\file.bat ? Все легко и прекрасно удаляется, нужно остановить процесс services.exe, это он создает снова и снова file.bat

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
отправьте карантин по электронной почте на адрес newvirus@kaspersky.com

Вы отправляли? Получили ответ?

после AVZ в HJT того что в коде прописано нет

странно, строка O20 - Winlogon Notify: rssync - C:\WINDOWS\ - должна была остаться.

Ну и естественно новый комплект логов ждём.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...