-
Junior Member
- Вес репутации
- 55
Trojan.PWS.Ibank.38 и прочая свежатинка
Добрый день!
Умудрился забыть поставить антивирус после сноса предвдущей версии, и в итоге получил сабж в виде 3-х экзешников в system32, которые вылечил, но еще один гад остался.
Не пускает на сайты антивирусов, включая этот, z-oleg.com, и так далее, практически все известные антивирусы.
Удалось установить avira free, он пищит при запуске системы, как будто ловит вирус, но ни в логах, ни в результате ничего не меняется - по прежнему блокируются сайты (в том числе обновление самой авиры), и глючит Internet Explorer - пропадает меню, не работают некоторые запросы POST.
AVZ при открытии списка внедренных DLL выдает много системных писков, и кроме перехваченных вызовов ничего подозрительного не показывает.
Прошу помощи. Дрянь видимо совсем новая. Поймал 29 апреля. А тот же Dr Web стал определять сабж только 2 мая. А вот кто еще сидит в системе - загадка. Грузился с Live CD, проверял диск последним DrWeb Cure It. Он нашел только остатки Trojan.PWS.Ibank.38 в Documents and Settings/LocalService/Local Settings/Temporary Internet Files.
Хорошо есть второй чистый комп, с которого можно качать и обновлять требуемый софт.
Файлы прилагаю.
PS. Посмотрел route print - полно левых маршрутов, попробую пока поудалять...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 55
Удалил левые маршруты, обновил авиру... Теперь она не пищит при старте компа, IE тоже в норме...
-
Пароли только не забудьте сменить. Могли уйти на сторону.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Павел, спасибо!
Подскажите, вот это от Авиры? Чтобы на будущее знать...
\FileSystem\ntfs[IRP_MJ_CREATE] = 8AE241F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8AE241F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8AE241F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8AE241F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8AE241F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8AE241F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8AE241F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8AE241F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8AE241F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8AE241F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8AE241F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8AE241F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8AE241F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8AE241F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8AE241F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8AE241F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8A087500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8A087500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8A087500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8A087500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8A087500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8A087500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8A087500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A087500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8A087500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8A087500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A087500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8A087500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8A087500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8A087500 -> перехватчик не определен
-
Сообщение от
Uncle_Bob
Подскажите, вот это от Авиры?
Нет.
-
-
Junior Member
- Вес репутации
- 55
-
Сообщение от
Uncle_Bob
Это симптом?
Нет.
-
-
Junior Member
- Вес репутации
- 55
Все-таки компу становится хуже... Вдруг выкочила ошибка spoolsv.exe, avira вновь при старте системы пищит, как будто находит вирус, поочередно каждый процесс начинает грузить систему...
Подскажите пож, куда и как копать дальше.
PS. Может изменить статус темы?
-
Сообщение от
Uncle_Bob
Подскажите пож, куда и как копать дальше.
Сделайте свежие логи по правилам.
-
-
Junior Member
- Вес репутации
- 55
Вроде там все то же самое...
Приложил
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
Восстановление системы: включено
???
- Отключите Системное восстановление.
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('K:\autorun.inf','');
QuarantineFile('C:\DOCUME~1\VLADIM~1\LOCALS~1\Temp\esp762A.tmp','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup','EventMessageFile');
DeleteFile('C:\DOCUME~1\VLADIM~1\LOCALS~1\Temp\esp762A.tmp');
DeleteFile('K:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Очистите файл hosts.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 55
выполнил согласно инструкции... файла
'C:\DOCUME~1\VLADIM~1\LOCALS~1\Temp\esp762A.tmp'
не было, предварительно проверил с Live CD.
карантин 8МБ - не приложить... а, блин, протупил... закачал...
Результат загрузки
Файл сохранён как 100504_201207_quarantine_4be04757a160b.zip
Размер файла 8357442
MD5 2535750f164c36741632bb2b1a6fda5b
Файл закачан, спасибо!
-
Junior Member
- Вес репутации
- 55
Прилагаю файлы.
Постарался максимально следовать инструкции. NHC не могу выключить - ноут вскипит.
Внешних симптомов вроде нету...
-
Ничего подозрительного не увидел.
-
-
Junior Member
- Вес репутации
- 55
Спасибо.
Пока все спокойно.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-