Перейти к содержанию
Олег (Булка)

Файл С:\WINDOWS\FILE.BAT; Trojan-Proxy.Win32.Small.mu

Рекомендуемые сообщения

Со вчерашнего Kaspersky liitentet Security 7.0 говорит, что С:\WINDOWS\FILE.BAT содержит троянскую программу Trojan-Proxy.Win32.Small.mu, Касперcкий этот file.bat удаляет, но через секунду он снова появляется на своём месте! На это Касперский просит процедуру лечения с перезагрузкой - при положительном моём ответе Касперский перезагружает комп, а при загрузке ОС он снова на месте... и так по кругу!

Помогите ребят мне стереть то, что восстанавливает file.bat!

Комп домашний.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\WINDOWS\services.exe');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\System32\atkosdmini.dll','');
QuarantineFile('C:\WINDOWS\EIO.DLL','');
QuarantineFile('C:\WINDOWS\aticlocklib.dll','');
QuarantineFile('c:\windows\services.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\ctlsys.dll');
DeleteFile('C:\WINDOWS\system32\rssync.dll');
BC_ImportALL;
BC_DeleteSvc('i386si');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

ПК перезагрузится.

 

Теперь выполним следующий скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Затем пофиксить в HJT:

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O20 - Winlogon Notify: ctlsys - ctlsys.dll (file missing)
O20 - Winlogon Notify: rssync - rssync.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите. Логи повторите.

Изменено пользователем Falcon

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ура! :)

Система работает хорошо! Признаков, на выше указанные проблемы, нет!

Благодарю!

Повторные логи - прилогаю.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Цель достигнута, c:\windows\services.exe - замаскированный вирус,удален, признаков активного заражения нет.

Изменено пользователем Falcon

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цель достигнута, c:\windows\services.exe - замаскированный вирус,удален, признаков активного заражения нет.

Благодарю! Хорошо, что есть такие порядочные люди как Вы! :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Извиняюсь, что поднимаю старую тему. Сегодня зашел на сайт и ко мне попала эта гадость - тот самый file.bat и services.exe. Первый (Trojan-Proxy.Win32.Small.mu) был успешно удален, а второй КИС взял проактивной защитой. Система осталась чистой, но уже несколько раз отправляли карантин АВЗ и т.п. с этими файлами в Лабораторию еще в 2008 году. Почему до сих пор не детектим сигнатурно? ;)

Отправил образец, надеюсь все будет ОК!

Изменено пользователем Venus Doom

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну так вирусописатели не дремлют, вносят изменения в свои файлы и сигрнатурно их уже не задетектить, пока кто-то не отправит новый образец зловреда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну, пока пусть обломятся:

ответили, что это Email-worm.Win32.Joleee.kd

А проактивка хорошо сработала, если б не она, то рассылал бы сейчас спам :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...