-
Junior Member
- Вес репутации
- 54
Trojan.Winlock.302
Здраствуйте! Троянчик у меня, смс хочет. КьюрИт в безопасном режиме удаляет файлики WINDOWS\ctfmon.exe и из папки Temp много. Затем все загружается норм. При открытии Оперы вылезает окошко снова. То же самое при подключении инета.
Очень надеюсь на вашу помощь!
Вложение 168788
Вложение 168789
Вложение 168794
Последний раз редактировалось bustergood; 13.10.2009 в 19:21.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\DOCUME~1\Belik\LOCALS~1\Temp\b.exe','');
DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}');
QuarantineFile('C:\WINDOWS\system32\msxml71.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0040142622-1264353265-494956030-4071\mwau.exe','');
QuarantineFile('c:\windows\windows7addon.exe','');
TerminateProcessByName('c:\windows\windows7addon.exe');
QuarantineFile('c:\docume~1\belik\locals~1\temp\311.exe','');
TerminateProcessByName('c:\docume~1\belik\locals~1\temp\311.exe');
DeleteFile('c:\docume~1\belik\locals~1\temp\311.exe');
DeleteFile('c:\windows\windows7addon.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0040142622-1264353265-494956030-4071\mwau.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\msxml71.dll');
DeleteFile('C:\DOCUME~1\Belik\LOCALS~1\Temp\b.exe');
DeleteFile('C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
DeleteFile('{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
DeleteFile('H:\autorun.inf');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=57109
3. Повторите логи.
Последний раз редактировалось Aleksandra; 13.10.2009 в 19:33.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Сделал. При выполнении скрипта номер 2 (сбор информации) подключил интернет (как написано в инструкции). Вылазит троян, гад.
Логи:
Вложение 168811
Вложение 168812
Вложение 168813
Архив загрузил по ссылке.
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\windows7addon.exe');
DeleteFile('c:\windows\windows7addon.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1657718840-5570372388-833774190-4896\mwau.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 54
Ура! Опера и инет работают, троян не вылазит! Спасибо огромное!!!
Вложение 168816
Если будут потом проблемы с ним же, создавать новую тему или отвечать в эту?
-
Ничего зловредного в логах нет.
Сообщение от
bustergood
Если будут потом проблемы с ним же, создавать новую тему или отвечать в эту?
Не должны быть.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\belik\locals~1\temp\235.exe - Trojan-Ransom.Win32.SMSer.oc ( DrWEB: Trojan.Winlock.325, NOD32: Win32/LockScreen.BU trojan, AVAST4: Win32:Malware-gen )
- c:\docume~1\belik\locals~1\temp\311.exe - Backdoor.Win32.IRCBot.mps ( DrWEB: BackDoor.IRC.Sdbot.5343, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0040142622-1264353265-494956030-4071\mwau.exe - P2P-Worm.Win32.Palevo.jyf ( DrWEB: Win32.HLLW.Lime.18 )
- c:\windows\ctfmon.exe - Trojan-Ransom.Win32.SMSer.oc ( DrWEB: Trojan.Winlock.325, NOD32: Win32/LockScreen.BU trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\msxml71.dll - Trojan.Win32.FraudPack.ufw ( DrWEB: Trojan.Fakealert.5507, BitDefender: Trojan.Generic.2472200, NOD32: Win32/TrojanDownloader.FakeAlert.AIM trojan, AVAST4: Win32:FakeAV-RP [Trj] )
- c:\windows\windows7addon.exe - Packed.Win32.Krap.af ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Application.Generic.248698, AVAST4: Win32:MalOb-U [Cryp] )
- c:\windows\windows7addon.exe - Backdoor.Win32.IRCBot.mps ( DrWEB: BackDoor.IRC.Sdbot.5343, AVAST4: Win32:Malware-gen )
-