Перейти к содержанию
Правила раздела

Файл С:\WINDOWS\FILE.BAT; Trojan-Proxy.Win32.Small.mu

Олег (Булка)

Автор Олег (Булка)
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Олег (Булка)

Олег (Булка)

Опубликовано
Опубликовано

Со вчерашнего Kaspersky liitentet Security 7.0 говорит, что С:\WINDOWS\FILE.BAT содержит троянскую программу Trojan-Proxy.Win32.Small.mu, Касперcкий этот file.bat удаляет, но через секунду он снова появляется на своём месте! На это Касперский просит процедуру лечения с перезагрузкой - при положительном моём ответе Касперский перезагружает комп, а при загрузке ОС он снова на месте... и так по кругу!

Помогите ребят мне стереть то, что восстанавливает file.bat!

Комп домашний.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Falcon

Falcon

Опубликовано
Опубликовано (изменено)

Выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\WINDOWS\services.exe');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\System32\atkosdmini.dll','');
QuarantineFile('C:\WINDOWS\EIO.DLL','');
QuarantineFile('C:\WINDOWS\aticlocklib.dll','');
QuarantineFile('c:\windows\services.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\ctlsys.dll');
DeleteFile('C:\WINDOWS\system32\rssync.dll');
BC_ImportALL;
BC_DeleteSvc('i386si');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

ПК перезагрузится.

 

Теперь выполним следующий скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Затем пофиксить в HJT:

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O20 - Winlogon Notify: ctlsys - ctlsys.dll (file missing)
O20 - Winlogon Notify: rssync - rssync.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите. Логи повторите.

Изменено пользователем Falcon
Falcon

Falcon

Опубликовано
Опубликовано (изменено)

Цель достигнута, c:\windows\services.exe - замаскированный вирус,удален, признаков активного заражения нет.

Изменено пользователем Falcon
Олег (Булка)

Олег (Булка)

Опубликовано
  • Автор
Опубликовано
Цель достигнута, c:\windows\services.exe - замаскированный вирус,удален, признаков активного заражения нет.

Благодарю! Хорошо, что есть такие порядочные люди как Вы! :(

  • 1 месяц спустя...
Venus Doom

Venus Doom

Опубликовано
Опубликовано (изменено)

Извиняюсь, что поднимаю старую тему. Сегодня зашел на сайт и ко мне попала эта гадость - тот самый file.bat и services.exe. Первый (Trojan-Proxy.Win32.Small.mu) был успешно удален, а второй КИС взял проактивной защитой. Система осталась чистой, но уже несколько раз отправляли карантин АВЗ и т.п. с этими файлами в Лабораторию еще в 2008 году. Почему до сих пор не детектим сигнатурно? ;)

Отправил образец, надеюсь все будет ОК!

Изменено пользователем Venus Doom
ТроПа

ТроПа

Опубликовано
Опубликовано

Ну так вирусописатели не дремлют, вносят изменения в свои файлы и сигрнатурно их уже не задетектить, пока кто-то не отправит новый образец зловреда.

Venus Doom

Venus Doom

Опубликовано
Опубликовано

Ну, пока пусть обломятся:

ответили, что это Email-worm.Win32.Joleee.kd

А проактивка хорошо сработала, если б не она, то рассылал бы сейчас спам :lol:

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...