sima 0 Опубликовано 26 января, 2009 Share Опубликовано 26 января, 2009 Здравствуйте! Необходимо вылечить комп от трояна:Win32/TrojanProxy.Small.Mu Касперский его блокирует,но не удаляет...При лечении комп перезагружается,проблема остаётся. Спасибо. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 26 января, 2009 Share Опубликовано 26 января, 2009 (изменено) Для начала выполните следующий скрипт В AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('C:\WINDOWS\services.exe '); QuarantineFile('C:\WINDOWS\system32\DRIVERS\epfwtdir.sys',' '); QuarantineFile('C:\Documents and Settings\SIMA\Local Settings\Application Data\Google\Update\GoogleUpdate.exe',' '); QuarantineFile('C:\Program Files\VolumeControl2\LouderIt.exe',' '); DeleteService('ksi32sk'); DeleteService('gdrv'); DeleteFile('c:\windows\services.exe'); DeleteFile('C:\WINDOWS\gdrv.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys'); DeleteFile('C:\WINDOWS\system32\winhelp.exe'); BC_ImportAll; BC_DeleteSvc('ksi32sk'); BC_DeleteSvc('gdrv '); BC_Activate; ExecuteSysClean; RebootWindows(true); end. ПК перезагрузится. Затем пофиксить в HJT: O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\winhelp.exe O20 - Winlogon Notify: rssync - C:\WINDOWS\ Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите. Логи повторите. Изменено 26 января, 2009 пользователем Falcon 1 Цитата Ссылка на сообщение Поделиться на другие сайты
alexand 0 Опубликовано 9 апреля, 2009 Share Опубликовано 9 апреля, 2009 после AVZ в HJT того что в коде прописано нет.и вообще что этот троян делает? Цитата Ссылка на сообщение Поделиться на другие сайты
SLASH_id 989 Опубликовано 9 апреля, 2009 Share Опубликовано 9 апреля, 2009 alexand Логи повторите. У вас разновидность этого: http://www.viruslist.com/ru/viruses/encycl...a?virusid=41180 Цитата Ссылка на сообщение Поделиться на другие сайты
alexand 0 Опубликовано 9 апреля, 2009 Share Опубликовано 9 апреля, 2009 (изменено) ну а AVZ я повторил а вот в HJT опять же того что в коде написано нет.т.е. он тырит пароли и т.д.?и еще он отрубает брендмауер... Изменено 9 апреля, 2009 пользователем alexand Цитата Ссылка на сообщение Поделиться на другие сайты
SLASH_id 989 Опубликовано 9 апреля, 2009 Share Опубликовано 9 апреля, 2009 Вы не поняли. Сделайте новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
alexand 0 Опубликовано 9 апреля, 2009 Share Опубликовано 9 апреля, 2009 честно не пойму тогда что значит новые логи сделать и интересно почему в HJT того что в коде написано нет Цитата Ссылка на сообщение Поделиться на другие сайты
INC® 165 Опубликовано 9 апреля, 2009 Share Опубликовано 9 апреля, 2009 честно не пойму тогда что значит новые логи сделать и интересно почему в HJT того что в коде написано нет Выполните правила: http://forum.kasperskyclub.ru/index.php?showtopic=1698 Цитата Ссылка на сообщение Поделиться на другие сайты
Venus Doom 2 Опубликовано 9 апреля, 2009 Share Опубликовано 9 апреля, 2009 У меня было такое, services.exe Email-worm.win32.Joleee. Распространяется через взломанные веб-сайты. Small.mu - C:\WINDOWS\file.bat ? Все легко и прекрасно удаляется, нужно остановить процесс services.exe, это он создает снова и снова file.bat Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 10 апреля, 2009 Share Опубликовано 10 апреля, 2009 отправьте карантин по электронной почте на адрес newvirus@kaspersky.com Вы отправляли? Получили ответ? после AVZ в HJT того что в коде прописано нет странно, строка O20 - Winlogon Notify: rssync - C:\WINDOWS\ - должна была остаться. Ну и естественно новый комплект логов ждём. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.