Троян?

[halfelven]

Одна из курируемых точек пожаловалось на то что не обновляется Касперский.

И действительно при ручном запуске обновления появляется окно и на нем нечего не идет (в этот момент в мониторинге Outpost'а вообще пустота от Касперского). После этого выдается сообщение об том что не возможно... т.д. и т.п. и самое интересное - на n-ое время выгружается служба, но через несколько секунд запускается вновь. Для эксперимента фаервол полностью отключался - не помогло. В безопасном режиме гоняли CureIt' - нечего.

В msconfig нашли автозагрузке файлик kavo.exe. По поиску на сайте касперского обнаружили, что этот файлик характеризует трояны серии Trojan-PSW.Win32.OnLineGames.sxa, Trojan-PSW.Win32.OnLineGames.rlh, Worm.Win32.AutoRun.bhx .

По схеме указаной к ручному лечению этих вирусов не все пункты подходили, кое что действительно было в реестре, а кое чего не было. Но вообщем после "лечения" ситуация не изменилась.

Прошу помочь.

PS: vnc, support - наши программы для удаленного доступа, citycv3 - это служба кардридера

avz_log.txt

avz_log.txt

[akoK]

Логи не те.

8. Создайте тему в ветке «Лечение систем от компьютерных вирусов» и присоедините полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log

[halfelven]

Логи не те.

Извиняюсь... щаз выложу те.

PS: Только сразу хочу предупредить, компьютер за 250 км от меня, за компьютером пользователи "не продвинутые", тот же Касперский через VNC (удаленка) не управляется. Так что не знаю на сколько эти логи будут актуальны.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\criacx.ocx','');QuarantineFile('C:\WINDOWS\system32\Drivers\vnccom.SYS','');QuarantineFile('c:\program files\psi\psi.exe','');QuarantineFile('c:\sv3\citynet_sv3.exe','');BC_ImportALL;ExecuteRepair(6);ExecuteRepair(8);ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Включите AVZPM и повторите логи

Если что-то отключали через msconfig... включите

[halfelven]

QuarantineFile('C:\WINDOWS\system32\criacx.ocx','');

QuarantineFile('C:\WINDOWS\system32\Drivers\vnccom.SYS','');

QuarantineFile('c:\program files\psi\psi.exe','');

QuarantineFile('c:\sv3\citynet_sv3.exe','');

к сожалению это все наше... =(((

1) модуль к онлайн-дилеру какого-то сотового оператора (100% гарантии безопасности ибо используется на всех точках уже несколько лет)

2) vnccom - это наш удаленный администратор (аналогично)

3) psi - это внутренний чат (аналогично)

4) sv3 - служба кард-ридера... (аналогично)

[ТроПа]

Включите AVZPM и повторите логи

Сделайте так, пожалуйста.

[ser208]

Извиняюсь... щаз выложу те.

PS: Только сразу хочу предупредить, компьютер за 250 км от меня, за компьютером пользователи "не продвинутые", тот же Касперский через VNC (удаленка) не управляется. Так что не знаю на сколько эти логи будут актуальны.

Попроси пользователя в настройках Касперского в меню Сервис отключить

запрет на внешнее управление и отключить защиту.

Тогда можно будет управлять удаленно.

Изменено 9 декабря, 2008 пользователем ser208