Вчера словил Trojan.PWS.LDPinch.1941. DrWeb находит но не лечит.За пароли боязно.Помогите плз=(
Вчера словил Trojan.PWS.LDPinch.1941. DrWeb находит но не лечит.За пароли боязно.Помогите плз=(
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\SUPERD~1.LOL\LOCALS~1\Temp\jswmidin.sys',''); QuarantineFile('C:\WINDOWS\system32\OPDSL.dll',''); QuarantineFile('C:\WINDOWS\system32\basetqfj32.dll',''); QuarantineFile('c:\windows\system32\pnkbstra.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22678 ).
Затем такой скрипт в AVZ:
Сделайте новые логи.Код:procedure ParseString (S : TStringList; SS : String; SSS : String ); var i,l : integer; begin i := Pos(SSS,SS); l := Length(ss); If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end; end; var SL,SF : TStringList; SS, SSS : String; i : integer; begin SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create; SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows'); ParseString (SL,SS,' '); for i := 0 to SL.Count - 1 do Begin SS := SL[i]; If Pos('ServerDll=base',SS) > 0 Then Begin If SS <> 'ServerDll=basesrv,1' Then Begin AddToLog('Infected "SubSystem" value : ' + SS); if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end; end; end; end; SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end; If SSS <> '' Then Begin i := Pos(',',SSS); If i = 0 Then i := Length(SSS); SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1); AddToLog('Infection name : ' + SSS + '.dll'); SetAVZGuardStatus(True); If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll'); RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems', 'Windows', 'REG_EXPAND_SZ', SS); SaveLog(GetAVZDirectory + 'SubSystems.log'); RebootWindows(false); end; SL.Free; SF.Free; End.
В каком файле ДрВеб находит пинча ?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Карантин отправил.
Вот новые логи.
ДрВеб находил пинч тут: C:\WINDOWS\TEMP\NT17332.exe
Кстати после этого он сразу находил троян даунлоудер в той же папке.Сейчас ничего не находит.Когда надо пароли менять?
C:\WINDOWS\system32\basetqfj32.dll -Trojan.Agent.AGKK -уничтожен
C:\WINDOWS\system32\OPDSL.dll -чистый
C:\DOCUME~1\SUPERD~1.LOL\LOCALS~1\Temp\jswmidin.sy s чистый
больше ничего подозрительного ....
пароли меняйте ...
Большое спасибо за помощь))
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\basetqfj32.dll - Trojan.Win32.SubSys.do (DrWEB: Trojan.Okuks.based)
Уважаемый(ая) Red352, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.