От: Trojan.Win32.Generic!BT

Кажи Операционна Система ? Каква Антивирусна имаш в момента, дали се ъпдейтва ежедневно? Имаш ли административни права на машината? Като първи стъпки, обнови АВирусната, дръпни най-новите Уиндоус пачове, и свали БЕЗинсталационни АВ програмки или тулове от portableapps.com HIRENS LIVE CD etc... + ако на машината имаш критично важни данни, веднага направи бак ъп като рестартираш машината и под ЛИНУКС копираш всички важни директории/файлове, ако ти е важно дори и да не можеш сам ще поканиш някой да ти помогне, въпрос на час два е ако имаш много ГБ данни...

От: Trojan.Win32.Generic!BT

Ехе, къде ме заби с тоя линкус . На win XP съм.
Сега съм се заел да направя няколко rescue cd (касперски, авира, и бит-дифендър) Ама от прочетеното имам съмнения до колко ще се получи, въпреки че стъпките* към почистване би трябвало да са това.
Аз затова питах дали някой конкретно се е борил с тоя троянец, че бил труден за махане.
Информация имам, ама не е много важна, т.е. самата складова работи през sql сървър, който е на друг комп. Та и архивите са там. Лошо че ако се наложи да преинсталирам, трябва да извикам човека с поддръжката да ме сурвака с някоя стотачка. Инак самата преинсталация на win-бозата, мрежата и там разни други, не са ми проблем.

п.п. с линукса съм на Вие, а някак си и не ми се занимава да го разучавам. Знам че има готови пакети и т.н., ама нямам време .

От: Trojan.Win32.Generic!BT

Ако си с ХР има една готина програма Hijack this или нещо такова. Четеш в нета как се казва изпълнителния файл на троянеца, спираш го, блокираш го да не стартира наново, рестартираш под Сейф мод, пак чистиш, триеш заразените файлове, пускаш 2-3 антивирусни но НЕ едновременоо, а една след друга, може би след рестарт и те така, почети направо койя АВ го чисти и само с нея, повечето имат трайъл версии за месец или нещо такова. ПРЕДИ ВСИЧКО ОБАЧЕ аз бих направил бакъп с Нортон Гост или Акронис на целия хард диск и ако имаш друг хард, направо направи копие на харда, провери архива дали е читав и тогава си играй да чистиш, щото да не плачеш иначе един въпрос , защо работиш още на ХР ? може да имаш съвременен компютър и на т.н. виртуална машина да цъкаш складовата програма, така и да пипнеш вируси дреме ти, виртуална машина се възстаноявява за няколко минутки

От: Trojan.Win32.Generic!BT

Това име кой антивирус го дава?
generic обикновено е евристично засичане

От: Trojan.Win32.Generic!BT

Щом имаш бакъп на важната информация, можеш да пробваш систем рестор точка от преди заразяването, разбира се ако ти е пуснат систем рестора

От: Trojan.Win32.Generic!BT

Това животно обикновено спира и систем рестора. Едното решение е аваст и сканиране преди да зареди ОС. Другото е malwarebytes. Ако и с двете не стане, трето не знам.

От: Trojan.Win32.Generic!BT

Благодарско за "Hijack this", ще разгледам да видя за какво иде реч.
Иначе ползвам някаква безплатна на лавасофт Ad-adware, та тя го засича като Trojan.Win32.Generic!BT

А колкото до XP-то ... ами какво му е .... върши работа. Отделно сървъра е с такъв и така и не съм питал дали би имало несъвместимост, ако на другите компютри е (примерно) 7-ца. Сървъра си е стара машина, някакъв 1.6 дюрон (май беше) ама преди имах едно оригинално XP и от едно 3-4 години си е с него . Още ме е яд, че го дадох на един и ми го върна толкова надран, все едно по асвалта го е влачил.

Иначе на другите два им сменях дъна и проФесорите, че покрай разни бури имаше фири.

Цецо, със систем рестор тръгват нещата, ама след време пак се стартира гадината и почва да ми бави работата.

Абе днес мисля до обяд да поработим (че и сега пиша от въпросната машина) пък слетобяд ще оставам да си поработя допълнително, че ми е малко

Снощи в къщи си направих 3 rescue cd-та на касперски, авира и бит-дифендър. Ще буутвам и с трите, пък ще видим.

Весели празници на празнуващите

От: Trojan.Win32.Generic!BT

мисля че което и да е от CD-тата ъпдейтнато, ще ти свърши работа, но си виж и колко ти е незакърпено XP-то и IE

От: Trojan.Win32.Generic!BT

Има описана процедура за почистване:

Platform: Win32
Type: Trojan
Size: 16896 bytes
Language: C++
MD5: 8d326300a6f4dfe93a456c4c185bf2a
SHA1: a01dee0fdb5a752afea044c4e4fe4534ef5a23f6
Aliases : Backdoor:Win32.Poison
Summary
Trojan.Win32.Generic!BT is a Trojan which extracts from itself another malicious program providing the attacker with unauthorized remote access to the infected computer. The Trojan is installed on the system by another malicious program which uses the critical vulnerability
Technical Details
Payload
Once activated, the Trojan locates its original body in the current user's Windows temporary folder with a randomly generated name:
%Temp%\<rnd>.dat
where <rnd> is a random sequence of numbers, e.g.: "690046".
The Trojan disables by ending the threads of the winlogon.exe process which monitor the system file integrity:

The Trojan then replaces the mspmsnsv.dll system library. The mspmsnsv.dll file is a module responsible for providing Microsoft Media Device Service:
%System%\mspmsnsv.dll
The file is 10240 bytes in size and it is detected as Trojan.Win32.Generic!BT by Ad-Aware.
MD5: 3079fc1303afbf709aa715f50fb917f5
SHA1: 8cb9a312974951e0bf89bb9f258ab9bed47c48ba
For the replaced library mspmsnsv.dll, the file creation date and time are the same as for the "%System%\sfc.exe" file.
The Trojan then modifies the value of the WmdmPmSN system service start parameter:
[HKLM\SYSTEM\CurrentControlSet\Services\WmdmPmSN]
"Start" ="2"
Thus, the service will start automatically each time Windows starts.
The Trojan then runs the WmdmPmSN service which in its turn runs the modified system library mspmsnsv.dll within the context of svchost.exe. With the help of the library, the Trojan tries to connect to the command server for further performance of the attacker’s command:
ie.aq1.co.uk
When a description was created, the server did not work.
The Trojan body %Temp%\<rnd>.dat is removed next time Windows is booted using the registry key:
[HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
"PendingFileRenameOperations"
Removal Recommendations
[HKLM\SYSTEM\CurrentControlSet\Services\WmdmPmSN]
"Start" ="3"
%System%\mspmsnsv.dll

1. Restore the registry key value :
2. Restore the file:
3. Clean the Temporary Internet Files folder, which contains infected files .
4. Run a full scan of your computer using the Antivirus program with the updated definition database.
5. Install and update:

От: Trojan.Win32.Generic!BT

като за начало - сканиране с malwarebytes - ако той не се справи - combofix i sdfix. лавасофт Ad-adware не е антивирус. Сложи microsoft security essentials и ъпдейтни windowsa до последно. Забрани autorun.