Войти

Показать полную графическую версию : [решено] Не получается вылечить машину от трояна

arsena1
02-11-2010, 11:14
Троян пытается подключиться к удаленному сайту. Подключение блокирует NOD, о чем постоянно выдает сообщение. Лечение не помогает. Антивирусы удаляют файлы chkntfs.exe, но после перезагрузки все повторяется.
Имела место блокировка сайтов с антивирусами. Удалось ее снять скриптом для AVZ из соседних тем.
Логи прикрепляю
Буду благодарен за помощь
Drongo
02-11-2010, 12:08
arsena1, Привет, временно отключите восстановление системы. И выполните скрипт

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\6c18c52b.exe,C:\WINDOWS\system32\yqqol k.exe,C:\WINDOWS\system32\8d2ce825.exe,C:\WINDOWS\system32\301ac5e0.exe,C:\WINDOWS\system32\46dda6e7 .exe,C:\WINDOWS\system32\64ab238f.exe,


• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\kmservice.exe');
QuarantineFile('c:\windows\system32\301ac5e0.exe','');
QuarantineFile('c:\windows\system32\46dda6e7.exe','');
QuarantineFile('c:\windows\system32\64ab238f.exe','');
QuarantineFile('c:\windows\system32\6c18c52b.exe','');
QuarantineFile('c:\windows\system32\8d2ce825.exe','');
QuarantineFile('c:\windows\system32\yqqolk.exe','');
QuarantineFile('c:\windows\kmservice.exe','');
DeleteFile('c:\windows\system32\301ac5e0.exe');
DeleteFile('c:\windows\system32\46dda6e7.exe');
DeleteFile('c:\windows\system32\64ab238f.exe');
DeleteFile('c:\windows\system32\6c18c52b.exe');
DeleteFile('c:\windows\system32\8d2ce825.exe');
DeleteFile('c:\windows\system32\yqqolk.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на при помощи этой формы (http://www.oszone.net/virusnet/)
[hr]
Повторите логи и что с проблемами?
arsena1
02-11-2010, 14:32
Отправил c:\quarantine.zip на
Прогнал снова всю проверку. Логи прикрепляю
Попытки подключения прекратились. Кажется все получилось
Большое спасибо
Drongo
02-11-2010, 16:06
arsena1, Больше ничего не увидел, если проблем нет, то можно отмечать решённой
arsena1
02-11-2010, 17:05
ок
еще раз большое спасибо



© OSzone.net 2001-2012