-
Junior Member
- Вес репутации
- 62
После лечения windows security center сообщает о заражении
Вчера секретарша посадила трояна из интернета.
Предположительно с сайта atomakayan.biz, в кэше прокси остались 3 exe, причем один из них находится в windows/system32, антивирусы на них не реагируют.
Провел лечение при помощи AVZ, несколько тороянов было удалено, но все равно выходят сообщения от windows security report о том, что система заражена win32.Banker.FR, Trojan.SpyAgent.DA
Последний раз редактировалось KonstS; 07.06.2010 в 16:16.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\~util32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Adtool2.dll','');
QuarantineFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\ie6.tmp','');
QuarantineFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\wndutl32.dll','');
DeleteFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\wndutl32.dll');
DeleteFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\ie6.tmp');
DeleteFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Adtool2.dll');
DeleteFile('C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\~util32.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\wndutl32.dll
Загрузите карантин согласно приложению №3 правил.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Maxim
O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\wndutl32.dll[/CODE]
Этого не оказалось, наверное, уже удалил.
AVZ находит еще что-то.
Последний раз редактировалось KonstS; 07.06.2010 в 16:16.
-
Пофиксите в HijackThis:
Код:
O2 - BHO: HelloWorldBHO - {02A60A63-4C18-4D14-A95F-28F57E533296} - C:\WINDOWS\System32\drivers\Adtool2.dll (file missing)
O2 - BHO: DirectPluginX Class - {37FF719A-A736-4FAB-8CBF-7B905277648D} - C:\DOCUME~1\CEKPET~1\LOCALS~1\Temp\~util32.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Qgbx46', 'Start');
BC_QrFile('C:\WINDOWS\System32\drivers\Qgbx46.sys');
BC_DeleteSvc('Qgbx46');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Qgbx46.sys');
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
Сделайте новый лог syscheck.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Похоже, что теперь все чисто.
Последний раз редактировалось KonstS; 07.06.2010 в 16:16.
-
на всякий случай C:\WINDOWS\system32\userinit.exe - пришлите согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
V_Bond
на всякий случай C:\WINDOWS\system32\userinit.exe - пришлите согласно приложения 3 правил ...
Высылаю.
Я сегодня отослал несколько файлов (в т.ч. и его) на drweb, пришло сообщение: "Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу. Вирус: Trojan.MulDrop.6474."
Так что антивирусам он уже известен.
-
Пуск - Выполнить:
Введите комадну: sfc /scannow
Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС.
Повторите лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Maxim
Пуск - Выполнить:
Введите комадну: sfc /scannow
Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС.
Повторите лог virusinfo_syscheck.zip
Сделано
-
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Maxim
Где лог?
С утра не проснулся еще
Исправляюсь.
Последний раз редактировалось KonstS; 07.06.2010 в 16:16.
-
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
В логах всё нормально.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 30
- В ходе лечения обнаружены вредоносные программы:
- c:\\docume~1\\cekpet~1\\locals~1\\temp\\ie6.tmp - Trojan-Downloader.Win32.Mutant.c (DrWEB: Trojan.MulDrop.11897)
- c:\\docume~1\\cekpet~1\\locals~1\\temp\\~util32.dl l - not-a-virus:AdWare.Win32.Agent.ahn (DrWEB: Trojan.Click.17381)
- c:\\docume~1\\cekpet~1\\locals~1\\temp\\wndutl32.d ll - Hoax.Win32.Renos.ays (DrWEB: Trojan.Fakealert.447)
- c:\\windows\\system32\\drivers\\adtool2.dll - Trojan-Downloader.Win32.BHO.de (DrWEB: Trojan.DownLoader.55674)
- \\userinit.exe - Worm.Win32.Gadja.f (DrWEB: Trojan.DownLoader.49226)
-