Показано с 1 по 9 из 9.

вылезает Trojan.PWS.LDPinch.1417 (заявка № 10591)

  1. #1
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    3
    Вес репутации
    35

    Exclamation вылезает Trojan.PWS.LDPinch.1417

    Здравствуйте, Господа!

    Др.Веб периодически ловит:
    20-06-2007 15:57:56 [CL] C:\System Volume Information\_restore{5B942C52-3EC6-4393-ADAF-2DA421A20CCE}\RP99\A0028486.exe - инфицирован Trojan.PWS.LDPinch.1417

    fixmbr сообщил о нестандартном загрузчике, был переписан. Chkdsk также глюрит(atapi.sys?). Хэлп, плиз.

    С уважением..
    HM
    Вложения Вложения
    Последний раз редактировалось Макcим; 23.06.2007 в 22:06.

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
    ClearQuarantine;
     BC_QrSvc('runtime2');
     BC_QrFile('C:\Windows\system32\drivers\runtime2.sys');
     BC_DeleteSvc('runtime2');
     BC_DeleteFile('C:\Windows\system32\drivers\runtime2.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/2Q00CPT/0409/bF8.asp
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/2Q00CPT/0409/bF7.asp
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\HM\LOCALS~1\Temp\winlogon.exe
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    3
    Вес репутации
    35
    пока avz работает, хотел спросить следующее. то, что startdrv рожается именно runtime2 - это понятно. но меня смутило то, что runtime2 не было видно. PsSetCreateProcessNotifyRoutine юзается? на то и расчет, что на "отсутствующий" файл никто внимание не обратит? и куда DrWeb тогда смотрит?

    прошу прощения, если вопросами "достал".

  5. #4
    Junior Member Репутация
    Регистрация
    23.06.2007
    Сообщений
    3
    Вес репутации
    35
    логи прилагаются. спасибо за помощь!
    Вложения Вложения
    Последний раз редактировалось drongo; 23.06.2007 в 23:49.

  6. #5
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    но меня смутило то, что runtime2 не было видно.
    runtime2 - руткит. Его не видно из под Windows.
    и куда DrWeb тогда смотрит?
    Вот это я тоже хотел бы знать. Касперский его уже давно детектит.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Может, и увидит, если Спайдер из оптимального режима в тяжёлый перевести.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Пароли нужно менять!!! Pinch-то он на это заточен.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    "Пофиксите" в HijackThis
    Код:
    O4 - HKLM\..\Run: [Mirabilis ICQ] ;;;C:\PROGRA~1\ICQ\ICQNet.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] ;;;C:\Windows\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [GCXX-Manager-Class] ;"C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe" -startup
    O4 - HKCU\..\Run: [MSMSGS] ;;;"C:\Program Files\Messenger\msmsgs.exe" /background
    Повторите логи.

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,518
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\temp\\startdrv.exe - Trojan-Downloader.Win32.Agent.brl (DrWEB: BackDoor.Bulknet)


  • Уважаемый(ая) Henry Morgan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 14.11.2010, 18:32
    2. Trojan.PWS.LDPinch.1417
      От Va_Lenok в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 02:00
    3. Подцепил Trojan.PWS.LDPinch.1417
      От script88 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.09.2008, 16:44
    4. Ответов: 4
      Последнее сообщение: 24.06.2008, 20:44
    5. trojan.PWS.LDPinch.TDD
      От Kacnep в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 21.01.2008, 22:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01007 seconds with 23 queries