вылезает Trojan.PWS.LDPinch.1417
Здравствуйте, Господа!
Др.Веб периодически ловит:
20-06-2007 15:57:56 [CL] C:\System Volume Information\_restore{5B942C52-3EC6-4393-ADAF-2DA421A20CCE}\RP99\A0028486.exe - инфицирован Trojan.PWS.LDPinch.1417
fixmbr сообщил о нестандартном загрузчике, был переписан. Chkdsk также глюрит(atapi.sys?). Хэлп, плиз.
С уважением..
HM
Последний раз редактировалось Макcим; 23.06.2007 в 22:06.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
"Пофиксите" в HijackThisКод:begin ClearQuarantine; BC_QrSvc('runtime2'); BC_QrFile('C:\Windows\system32\drivers\runtime2.sys'); BC_DeleteSvc('runtime2'); BC_DeleteFile('C:\Windows\system32\drivers\runtime2.sys'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_Activate; RebootWindows(true); end.Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/2Q00CPT/0409/bF8.asp R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/2Q00CPT/0409/bF7.asp O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\HM\LOCALS~1\Temp\winlogon.exe
пока avz работает, хотел спросить следующее. то, что startdrv рожается именно runtime2 - это понятно. но меня смутило то, что runtime2 не было видно. PsSetCreateProcessNotifyRoutine юзается? на то и расчет, что на "отсутствующий" файл никто внимание не обратит? и куда DrWeb тогда смотрит?
прошу прощения, если вопросами "достал".
логи прилагаются. спасибо за помощь!
Последний раз редактировалось drongo; 23.06.2007 в 23:49.
runtime2 - руткит. Его не видно из под Windows.но меня смутило то, что runtime2 не было видно.Вот это я тоже хотел бы знать. Касперский его уже давно детектит.и куда DrWeb тогда смотрит?
Может, и увидит, если Спайдер из оптимального режима в тяжёлый перевести.
Пароли нужно менять!!! Pinch-то он на это заточен.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
"Пофиксите" в HijackThisПовторите логи.Код:O4 - HKLM\..\Run: [Mirabilis ICQ] ;;;C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [NeroFilterCheck] ;;;C:\Windows\system32\NeroCheck.exe O4 - HKLM\..\Run: [GCXX-Manager-Class] ;"C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe" -startup O4 - HKCU\..\Run: [MSMSGS] ;;;"C:\Program Files\Messenger\msmsgs.exe" /background
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\temp\\startdrv.exe - Trojan-Downloader.Win32.Agent.brl (DrWEB: BackDoor.Bulknet)
Уважаемый(ая) Henry Morgan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
