Олег (Булка) 0 Опубликовано 31 января, 2009 Share Опубликовано 31 января, 2009 Со вчерашнего Kaspersky liitentet Security 7.0 говорит, что С:\WINDOWS\FILE.BAT содержит троянскую программу Trojan-Proxy.Win32.Small.mu, Касперcкий этот file.bat удаляет, но через секунду он снова появляется на своём месте! На это Касперский просит процедуру лечения с перезагрузкой - при положительном моём ответе Касперский перезагружает комп, а при загрузке ОС он снова на месте... и так по кругу! Помогите ребят мне стереть то, что восстанавливает file.bat! Комп домашний. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 1 февраля, 2009 Share Опубликовано 1 февраля, 2009 (изменено) Выполните следующий скрипт В AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('C:\WINDOWS\services.exe'); DeleteService('i386si'); QuarantineFile('C:\WINDOWS\System32\atkosdmini.dll',''); QuarantineFile('C:\WINDOWS\EIO.DLL',''); QuarantineFile('C:\WINDOWS\aticlocklib.dll',''); QuarantineFile('c:\windows\services.exe',''); DeleteFile('c:\windows\services.exe'); DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys'); DeleteFile('C:\WINDOWS\system32\ctlsys.dll'); DeleteFile('C:\WINDOWS\system32\rssync.dll'); BC_ImportALL; BC_DeleteSvc('i386si'); BC_Activate; ExecuteSysClean; RebootWindows(true); end. ПК перезагрузится. Теперь выполним следующий скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Затем пофиксить в HJT: O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe O20 - Winlogon Notify: ctlsys - ctlsys.dll (file missing) O20 - Winlogon Notify: rssync - rssync.dll (file missing) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите. Логи повторите. Изменено 1 февраля, 2009 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
Олег (Булка) 0 Опубликовано 1 февраля, 2009 Автор Share Опубликовано 1 февраля, 2009 Ура! Система работает хорошо! Признаков, на выше указанные проблемы, нет! Благодарю! Повторные логи - прилогаю. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 1 февраля, 2009 Share Опубликовано 1 февраля, 2009 (изменено) Цель достигнута, c:\windows\services.exe - замаскированный вирус,удален, признаков активного заражения нет. Изменено 1 февраля, 2009 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
Олег (Булка) 0 Опубликовано 2 февраля, 2009 Автор Share Опубликовано 2 февраля, 2009 Цель достигнута, c:\windows\services.exe - замаскированный вирус,удален, признаков активного заражения нет. Благодарю! Хорошо, что есть такие порядочные люди как Вы! Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 3 февраля, 2009 Share Опубликовано 3 февраля, 2009 Не за что, обращайтесь Цитата Ссылка на сообщение Поделиться на другие сайты
Venus Doom 2 Опубликовано 27 марта, 2009 Share Опубликовано 27 марта, 2009 (изменено) Извиняюсь, что поднимаю старую тему. Сегодня зашел на сайт и ко мне попала эта гадость - тот самый file.bat и services.exe. Первый (Trojan-Proxy.Win32.Small.mu) был успешно удален, а второй КИС взял проактивной защитой. Система осталась чистой, но уже несколько раз отправляли карантин АВЗ и т.п. с этими файлами в Лабораторию еще в 2008 году. Почему до сих пор не детектим сигнатурно? Отправил образец, надеюсь все будет ОК! Изменено 27 марта, 2009 пользователем Venus Doom Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 28 марта, 2009 Share Опубликовано 28 марта, 2009 Ну так вирусописатели не дремлют, вносят изменения в свои файлы и сигрнатурно их уже не задетектить, пока кто-то не отправит новый образец зловреда. Цитата Ссылка на сообщение Поделиться на другие сайты
Venus Doom 2 Опубликовано 28 марта, 2009 Share Опубликовано 28 марта, 2009 Ну, пока пусть обломятся: ответили, что это Email-worm.Win32.Joleee.kd А проактивка хорошо сработала, если б не она, то рассылал бы сейчас спам Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.