 |
|
|
10.01.2011, 23:41
|
#1 (ссылка) |
|
Новичок
Регистрация: 02.06.2010
Сообщений: 12
Репутация: 0
|
2 трояна портят жизнь
Засела на компе пара злыдней: Trojan.Gen и TrojanHorse, так их идентифицирует Нортон Антивирус. Но поделать ничего не может. В отчете вываливает спискок, где чередует этих троянов до 200 раз. Лог AVZ тут: http://exfile.ru/149170. Посоветуйте, каким заклинанием их вывести, плиииз.
|
|
|
11.01.2011, 14:36
|
#5 (ссылка) |
|
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\d@amp;s\alex\application data\systemproc\lsass.exe','');
QuarantineFile('c:\d@amp;s\alex\csrss.exe','');
QuarantineFile('c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('c:\windows\system32\42cce4b5.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\tm5zawx.exe','');
DeleteFile('c:\d@amp;s\alex\application data\systemproc\lsass.exe');
DeleteFile('c:\d@amp;s\alex\csrss.exe');
DeleteFile('c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('c:\windows\system32\42cce4b5.exe');
DeleteFile('\\?\globalroot\systemroot\system32\tm5zawx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','RTHDBPL');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(11);
ExecuteRepair(16);
RebootWindows(true);
end.
[ Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту. + Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. |
|
|
|
11.01.2011, 19:24
|
#6 (ссылка) |
|
Новичок
Регистрация: 02.06.2010
Сообщений: 12
Репутация: 0
|
Goredey, спасибо!
Уже после выполнения скрипта и перезагрузки комп стал быстрее открывать оконца, чем раньше. После проделал действия, которые рекомендовали. Повторно лог AVZ: http://exfile.ru/149305 Логи RSIT: http://exfile.ru/149306 http://exfile.ru/149307 |
|
|
|
11.01.2011, 22:34
|
#8 (ссылка) |
|
Новичок
Регистрация: 02.06.2010
Сообщений: 12
Репутация: 0
|
Несмотря на видимое увеличение быстродействия картина та же (((
Скачал новые базы для Нортона, запустил скан, и в С:/Темp опять обнаруживается под 200 штук троянских злыдней с упомянутым выше названием. Единственное отличие - теперь в папке Темп файлов ноль (не видны даже из-под Total Commander), а раньше была туча *.tmp, которые не хотели удаляться. |
|
|
| Ads | |
|
11.01.2011, 22:47
|
#9 (ссылка) |
|
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
alex_slash, проведите полное сканирование Лечащая утилита Dr.Web CureIt!
|
|
|
|
13.01.2011, 14:03
|
#10 (ссылка) |
|
Новичок
Регистрация: 02.06.2010
Сообщений: 12
Репутация: 0
|
Утилитой сделал быструю проверку - все чисто. А вот полная выловила троянское полчище , куда кроме первых двух вошли и еще пара новых пород. Еще какие-то меры стоит предпринять?
---------- Добавлено в 13:03 ---------- Предыдущее сообщение было написано в 13:03 ---------- P.S. Утилита обезвредила все найденное. |
|
|
|
13.01.2011, 14:14
|
#11 (ссылка) |
|
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
alex_slash, Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.
+ Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. |
|
|
|
13.01.2011, 15:29
|
#13 (ссылка) |
|
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
alex_slash, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\WINDOWS\system32\42cce4b5.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\TM5zaWx.exe','');
QuarantineFile('C:\D@amp;S\Alex\csrss.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\WINDOWS\system32\42cce4b5.exe');
DeleteFile('\\?\globalroot\systemroot\system32\TM5zaWx.exe');
DeleteFile('C:\D@amp;S\Alex\csrss.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи Последний раз редактировалось Iljeben; 13.01.2011 в 20:39. |
|
|
|
13.01.2011, 20:34
|
#15 (ссылка) |
|
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
alex_slash, пардон поправил!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\d@amp;s\alex\csrss.exe','');
QuarantineFile('c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('c:\windows\system32\42cce4b5.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\tm5zawx.exe','');
DeleteFile('c:\d@amp;s\alex\csrss.exe',);
DeleteFile('c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('c:\windows\system32\42cce4b5.exe');
DeleteFile('\\?\globalroot\systemroot\system32\tm5zawx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
|
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Убить трояна | Bonyfacu | Безопасность | 1 | 27.05.2010 14:35 |
| Последствие от удаления трояна | Ан@рей | Безопасность | 6 | 26.03.2010 17:23 |
| Avz-LOG - после трояна | romanw | Безопасность | 1 | 30.01.2010 18:16 |
| Купи комп - измени жизнь! | Пастух | Общение по интересам | 4 | 04.01.2010 15:55 |
| Жизнь «S.T.A.L.K.E.R.: Зов Припяти» на форумах | Gosha | Компьютерные новости | 9 | 21.10.2009 02:02 |
| LInux+Windows жизнь без прокси | izac | Linux | 0 | 07.10.2009 17:46 |
| Windows Vista vs XP: бой не жизнь, а на производительность. | Denesis | Компьютерные новости | 24 | 01.08.2009 00:04 |
| Жизнь нужно искать у оранжевых карликов | Gosha | Компьютерные новости | 1 | 12.05.2009 22:05 |
| Хостинг EVOLER & CO - платите один раз, пользуетесь всю жизнь! | Max055 | Реклама, объявления | 0 | 12.03.2008 19:25 |
| Хостинг EVOLER & CO - платите один раз, пользуетесь всю жизнь! | Yura1 | Реклама, объявления | 0 | 02.03.2008 14:57 |
| Хостинг EVOLER & CO - платите один раз, пользуетесь всю жизнь! | Yura1 | Работа | 0 | 02.03.2008 14:57 |
