Перейти к содержанию
Правила раздела

Файл С:\WINDOWS\FILE.BAT; Trojan-Proxy.Win32.Small.mu

Олег (Булка)

От Олег (Булка)
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Олег (Булка) Новичок

Олег (Булка)

Опубликовано
Опубликовано

Со вчерашнего Kaspersky liitentet Security 7.0 говорит, что С:\WINDOWS\FILE.BAT содержит троянскую программу Trojan-Proxy.Win32.Small.mu, Касперcкий этот file.bat удаляет, но через секунду он снова появляется на своём месте! На это Касперский просит процедуру лечения с перезагрузкой - при положительном моём ответе Касперский перезагружает комп, а при загрузке ОС он снова на месте... и так по кругу!

Помогите ребят мне стереть то, что восстанавливает file.bat!

Комп домашний.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)

Выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\WINDOWS\services.exe');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\System32\atkosdmini.dll','');
QuarantineFile('C:\WINDOWS\EIO.DLL','');
QuarantineFile('C:\WINDOWS\aticlocklib.dll','');
QuarantineFile('c:\windows\services.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\ctlsys.dll');
DeleteFile('C:\WINDOWS\system32\rssync.dll');
BC_ImportALL;
BC_DeleteSvc('i386si');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

ПК перезагрузится.

 

Теперь выполним следующий скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Затем пофиксить в HJT:

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O20 - Winlogon Notify: ctlsys - ctlsys.dll (file missing)
O20 - Winlogon Notify: rssync - rssync.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите. Логи повторите.

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
Олег (Булка) Новичок

Олег (Булка)

Опубликовано
  • Автор
Опубликовано

Ура! :)

Система работает хорошо! Признаков, на выше указанные проблемы, нет!

Благодарю!

Повторные логи - прилогаю.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)

Цель достигнута, c:\windows\services.exe - замаскированный вирус,удален, признаков активного заражения нет.

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
Олег (Булка) Новичок

Олег (Булка)

Опубликовано
  • Автор
Опубликовано
Цель достигнута, c:\windows\services.exe - замаскированный вирус,удален, признаков активного заражения нет.

Благодарю! Хорошо, что есть такие порядочные люди как Вы! :(

Ссылка на комментарий
Поделиться на другие сайты
  • 1 month later...
Venus Doom Постоялец

Venus Doom

Опубликовано
Опубликовано (изменено)

Извиняюсь, что поднимаю старую тему. Сегодня зашел на сайт и ко мне попала эта гадость - тот самый file.bat и services.exe. Первый (Trojan-Proxy.Win32.Small.mu) был успешно удален, а второй КИС взял проактивной защитой. Система осталась чистой, но уже несколько раз отправляли карантин АВЗ и т.п. с этими файлами в Лабораторию еще в 2008 году. Почему до сих пор не детектим сигнатурно? ;)

Отправил образец, надеюсь все будет ОК!

Изменено пользователем Venus Doom
Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Ну так вирусописатели не дремлют, вносят изменения в свои файлы и сигрнатурно их уже не задетектить, пока кто-то не отправит новый образец зловреда.

Ссылка на комментарий
Поделиться на другие сайты
Venus Doom Постоялец

Venus Doom

Опубликовано
Опубликовано

Ну, пока пусть обломятся:

ответили, что это Email-worm.Win32.Joleee.kd

А проактивка хорошо сработала, если б не она, то рассылал бы сейчас спам :lol:

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Safurai
      trojan-Dropper.Win64.Mine
      От Safurai
      2025-02-17_02-06-10_log.txtFRST.txtAddition.txtHiJackThis.loginfo.txtlog.txtCheck_Browsers_LNK.log
    • DoctorRS
      Trojan-Ransom.Win32.Mimic
      От DoctorRS
      Добрый день. Зашифровали файлы Trojan-Ransom.Win32.Mimic, не работает 1С и файлы офис. Помогите пожалуйста есть ли варианты дешифрации ? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • foroven
      [РАСШИФРОВАНО]Шифровальщик Trojan-Ransom.Win32.Xorist.ln
      От foroven
      Добрый день. Схватили шифровальщик. Кажется что взломали RDP доступ т.к был открыт наружу с слабым паролем. Зашифрованные файлы имеют расширение *.er
      Файлы с обычным расширением где есть файл *.er не открываются. В основном зашифрованы базы 1С и полностью пропал из системы один диск, отображается в диспетчере дисков, как нераспределенный. Но программой восстановления удалось восстановит все файлы, но они также зашифрованы.

      Копии.7z
    • swim1x
      Trojan-PSW.Win32.Convagent.gen
      От swim1x
      Забился диск C, и я полез его очищать. Зашёл я в диск C, пользователи, нашёл программку какую-то. Открыл её, и там были какие-то программы. Погуглил, узнал что это какие-то читы на ксго. Ну да и ладно подумал я, захотел проверить программу на вирустотале и увидел что известные антивирусы пишут RatX.
    • MultiFace
      Trojan MEM SEPEH gen не удаляется
      От MultiFace
      Добрый день, касперски обнаружил 76 объектов вредоносных, но не может удалить 
      Помогите в решении пожалуйста 
      CollectionLog-2025.02.21-18.47.zip 111.txt avz_log.txt
×
×
  • Создать...