Показано с 1 по 16 из 16.

Trojan.PWS.Ibank.38 и прочая свежатинка (заявка № 77577)

  1. #1
    Junior Member Репутация
    Регистрация
    30.04.2009
    Сообщений
    11
    Вес репутации
    55

    Thumbs up Trojan.PWS.Ibank.38 и прочая свежатинка

    Добрый день!

    Умудрился забыть поставить антивирус после сноса предвдущей версии, и в итоге получил сабж в виде 3-х экзешников в system32, которые вылечил, но еще один гад остался.

    Не пускает на сайты антивирусов, включая этот, z-oleg.com, и так далее, практически все известные антивирусы.

    Удалось установить avira free, он пищит при запуске системы, как будто ловит вирус, но ни в логах, ни в результате ничего не меняется - по прежнему блокируются сайты (в том числе обновление самой авиры), и глючит Internet Explorer - пропадает меню, не работают некоторые запросы POST.

    AVZ при открытии списка внедренных DLL выдает много системных писков, и кроме перехваченных вызовов ничего подозрительного не показывает.

    Прошу помощи. Дрянь видимо совсем новая. Поймал 29 апреля. А тот же Dr Web стал определять сабж только 2 мая. А вот кто еще сидит в системе - загадка. Грузился с Live CD, проверял диск последним DrWeb Cure It. Он нашел только остатки Trojan.PWS.Ibank.38 в Documents and Settings/LocalService/Local Settings/Temporary Internet Files.

    Хорошо есть второй чистый комп, с которого можно качать и обновлять требуемый софт.

    Файлы прилагаю.

    PS. Посмотрел route print - полно левых маршрутов, попробую пока поудалять...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    30.04.2009
    Сообщений
    11
    Вес репутации
    55
    Удалил левые маршруты, обновил авиру... Теперь она не пищит при старте компа, IE тоже в норме...

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Пароли только не забудьте сменить. Могли уйти на сторону.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    30.04.2009
    Сообщений
    11
    Вес репутации
    55
    Павел, спасибо!

    Подскажите, вот это от Авиры? Чтобы на будущее знать...

    \FileSystem\ntfs[IRP_MJ_CREATE] = 8AE241F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 8AE241F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 8AE241F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8AE241F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8AE241F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8AE241F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 8AE241F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8AE241F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8AE241F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8AE241F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8AE241F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8AE241F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8AE241F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8AE241F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8AE241F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 8AE241F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 8A087500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 8A087500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 8A087500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8A087500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8A087500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8A087500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 8A087500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A087500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8A087500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8A087500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A087500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8A087500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8A087500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 8A087500 -> перехватчик не определен

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Uncle_Bob Посмотреть сообщение
    Подскажите, вот это от Авиры?
    Нет.

  7. #6
    Junior Member Репутация
    Регистрация
    30.04.2009
    Сообщений
    11
    Вес репутации
    55
    Это симптом?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Uncle_Bob Посмотреть сообщение
    Это симптом?
    Нет.

  9. #8
    Junior Member Репутация
    Регистрация
    30.04.2009
    Сообщений
    11
    Вес репутации
    55
    Все-таки компу становится хуже... Вдруг выкочила ошибка spoolsv.exe, avira вновь при старте системы пищит, как будто находит вирус, поочередно каждый процесс начинает грузить систему...

    Подскажите пож, куда и как копать дальше.

    PS. Может изменить статус темы?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Uncle_Bob Посмотреть сообщение
    Подскажите пож, куда и как копать дальше.
    Сделайте свежие логи по правилам.

  11. #10
    Junior Member Репутация
    Регистрация
    30.04.2009
    Сообщений
    11
    Вес репутации
    55
    Вроде там все то же самое...

    Приложил

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    Восстановление системы: включено
    ???
    - Отключите Системное восстановление.


    -Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('K:\autorun.inf','');
     QuarantineFile('C:\DOCUME~1\VLADIM~1\LOCALS~1\Temp\esp762A.tmp','');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup','EventMessageFile');
     DeleteFile('C:\DOCUME~1\VLADIM~1\LOCALS~1\Temp\esp762A.tmp');
     DeleteFile('K:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    RebootWindows(true);
    end.
    Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

    После перезагрузки:
    - Закачайте файл ..\avz\quarantine.zip для анализа.
    - Очистите файл hosts.
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  13. #12
    Junior Member Репутация
    Регистрация
    30.04.2009
    Сообщений
    11
    Вес репутации
    55
    выполнил согласно инструкции... файла

    'C:\DOCUME~1\VLADIM~1\LOCALS~1\Temp\esp762A.tmp'

    не было, предварительно проверил с Live CD.

    карантин 8МБ - не приложить... а, блин, протупил... закачал...

    Результат загрузки
    Файл сохранён как 100504_201207_quarantine_4be04757a160b.zip
    Размер файла 8357442
    MD5 2535750f164c36741632bb2b1a6fda5b

    Файл закачан, спасибо!

  14. #13
    Junior Member Репутация
    Регистрация
    30.04.2009
    Сообщений
    11
    Вес репутации
    55
    Прилагаю файлы.

    Постарался максимально следовать инструкции. NHC не могу выключить - ноут вскипит.

    Внешних симптомов вроде нету...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Ничего подозрительного не увидел.

  16. #15
    Junior Member Репутация
    Регистрация
    30.04.2009
    Сообщений
    11
    Вес репутации
    55
    Спасибо.

    Пока все спокойно.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Uncle_Bob, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. trojan.pws.ibank.39
      От O`Coner в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 28.05.2010, 21:09
    2. Trojan.PWS.Ibank.38
      От skinv в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.05.2010, 15:45
    3. trojan.pws.ibank.28
      От BEAN в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 23.04.2010, 13:02
    4. Обнаружены Trojan.PWS.IBank.25 и Trojan.Packed.19740
      От vic2302 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.03.2010, 21:53
    5. Ищу описание Trojan.Win32.Scar.Btuw, Trojan.MulDrop, Trojan.Siggen1, Trojan.PWS.Ibank
      От v119 в разделе Описания вредоносных программ
      Ответов: 1
      Последнее сообщение: 15.03.2010, 13:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00051 seconds with 19 queries