В компьютере завелся Trojan.WinSpy.440

horbul · 08.02.2010, 11:59

Добрый день. Завёлся Trojan.WinSpy.440 Cureit-ом не лечится. Cureit показал --
C:\WINDOWS\system32\sfcfiles.dll
Вот логи:
AVZ - http://exfile.ru/83420
HiJackThis - http://exfile.ru/83422
Очень надеюсь на Вашу помощь.
Заранее спасибо!

01pump · 08.02.2010, 12:04

horbul,
запустить hijackthis кнопкой "Do a system scan only" Откроется таблица, в которой отметьте следующие строчки:

Код:

 
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo printer
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

и нажмите FIX checked

Запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст:

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
ExecuteSysClean;
RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!

После перезагрузки выполнить стандартный скрипт №2 ( virusinfo_syscheck.zip) и лог Hijackthis

horbul · 08.02.2010, 14:27

Спасибо большое! Cureit больше его не находит.
Логи:
hijackthis.log - http://exfile.ru/83449
AVZ - http://exfile.ru/83453

А что делать с файлом sfcfiles.dll -- его нет в папке C:\WINDOWS\system32
Откуда его скачать?

01pump · 08.02.2010, 14:30

horbul,

http://exfile.ru/83457 этот файл в папку киньте

horbul · 08.02.2010, 14:33

Спасибо большое!

01pump · 08.02.2010, 14:49

horbul,

На сайте www.virustotal.com проверьте этот файл C:\WINDOWS\system32\admdll.dll
Если появится сообщение что такой файл проверялся то все равно выполните повторную проверку!!! Результат сообщите.

horbul · 08.02.2010, 16:19

http://exfile.ru/83488

01pump · 08.02.2010, 16:22

horbul,
Я так понимаю это какая то ваша штучка для удаленного доступа? Или это не ваше?

horbul · 08.02.2010, 16:36

Да есть немножко.

Для удалённого доступа. Ну вирусом не считается, можно выдохнуть)))

08.02.2010, 11:59	#1 (ссылка)
horbul Новичок Регистрация: 08.02.2010 Сообщений: 5 Репутация: 0	В компьютере завелся Trojan.WinSpy.440 Добрый день. Завёлся Trojan.WinSpy.440 Cureit-ом не лечится. Cureit показал -- C:\WINDOWS\system32\sfcfiles.dll Вот логи: AVZ - http://exfile.ru/83420 HiJackThis - http://exfile.ru/83422 Очень надеюсь на Вашу помощь. Заранее спасибо!

08.02.2010, 12:04	#2 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	horbul, запустить hijackthis кнопкой "Do a system scan only" Откроется таблица, в которой отметьте следующие строчки: Код: F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo printer F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe и нажмите FIX checked Запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); ExecuteSysClean; RebootWindows(true); end. затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполнить стандартный скрипт №2 ( virusinfo_syscheck.zip) и лог Hijackthis

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Завёлся неизвестный антивирусу троян дроппер...	Allid	Безопасность	1	11.12.2010 08:56
Trojan.Winlock.2194	Нестеренко Алёна	Безопасность	7	05.09.2010 23:02
Trojan A0040776.exe	Bilal	Безопасность	9	06.06.2010 21:00
Посмотрите лог плиз, а то порно банер завелся	anetik85	Безопасность	3	25.05.2010 09:29
Избавиться от Trojan.PWS.Ibank.28.	Svetliko	Безопасность	38	27.03.2010 19:06
Winspy.570 как удалить?	Grom	Безопасность	5	27.02.2010 22:52
Trojan.packed.666	Dvp190476	Безопасность	12	19.02.2010 22:04
Прочитайте,пожалуйста ЛОГИ.Trojan.Win32.Patched.fr,Trojan.Downloader.Jav a.Agent.an	joy-jo	Безопасность	2	10.02.2010 21:13
Троян WinSpy 440	lisak77	Безопасность	1	07.02.2010 22:34
Log'и AVZ и HiJackThis (Trojan.WinSpy.440)	missFortu	Безопасность	13	11.01.2010 15:26
В компе завёлся вирус	Aksiniya	Безопасность	15	14.06.2009 10:42
В системе завелся Барабашка	olegp1985	Железо	4	03.05.2008 18:13

08.02.2010, 14:27	#3 (ссылка)
horbul Новичок Регистрация: 08.02.2010 Сообщений: 5 Репутация: 0	Спасибо большое! Cureit больше его не находит. Логи: hijackthis.log - http://exfile.ru/83449 AVZ - http://exfile.ru/83453 А что делать с файлом sfcfiles.dll -- его нет в папке C:\WINDOWS\system32 Откуда его скачать?

08.02.2010, 14:30	#4 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	horbul, http://exfile.ru/83457 этот файл в папку киньте

08.02.2010, 14:33	#5 (ссылка)
horbul Новичок Регистрация: 08.02.2010 Сообщений: 5 Репутация: 0	Спасибо большое!

08.02.2010, 14:49	#6 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	horbul, На сайте www.virustotal.com проверьте этот файл C:\WINDOWS\system32\admdll.dll Если появится сообщение что такой файл проверялся то все равно выполните повторную проверку!!! Результат сообщите.

08.02.2010, 16:19	#7 (ссылка)
horbul Новичок Регистрация: 08.02.2010 Сообщений: 5 Репутация: 0	http://exfile.ru/83488

08.02.2010, 16:22	#8 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	horbul, Я так понимаю это какая то ваша штучка для удаленного доступа? Или это не ваше?

08.02.2010, 16:36	#9 (ссылка)
horbul Новичок Регистрация: 08.02.2010 Сообщений: 5 Репутация: 0	Да есть немножко. Для удалённого доступа. Ну вирусом не считается, можно выдохнуть)))

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads