Показано с 1 по 7 из 7.

модифицированный win32 nuwar (заявка № 43959)

  1. #1
    Junior Member Репутация
    Регистрация
    16.04.2009
    Сообщений
    3
    Вес репутации
    28

    Exclamation модифицированный win32 nuwar

    помогите....
    сегодня нод32 начал выдавать что заблокирован модифицированный win32/Nuwar с адреса http://ps-banking.cn/x.exe . Искал в компе, никак не найду где он..
    Вложения Вложения
    Последний раз редактировалось Temychko; 16.04.2009 в 16:49.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Деактивируйте пожалуйста ссылку в своем сообщении.

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\gdrv.sys','');
     QuarantineFile('c:\windows\system32\winlogon.exe','');
     DeleteFile('C:\System Volume Information\_restore{98F492D8-7881-430A-8C87-900093689659}\RP22\A0011110.exe');
     ClearHostsFile;
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    16.04.2009
    Сообщений
    3
    Вес репутации
    28
    Файл сохранён как 090416_165716_virus_49e72b2c38965.zip
    Размер файла 638909
    MD5 2df4e2a31613d4ff2d65d97521267c94

    когда выполнялся скрипт, успелувидеть что невозможно было поместить файл sdra64.exe в карантин

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     ClearHostsFile;
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    3. Повторите логи

    Он все-же попал в карантин: DrWEB 5.0= Trojan.PWS.Panda.114
    Т.е. ворует пароли. После лечения очень рекомендуется сменить пароли
    The worst foe lies within the self...

  6. #5
    Junior Member Репутация
    Регистрация
    16.04.2009
    Сообщений
    3
    Вес репутации
    28
    код в AVZ выполнил, комп перезагрузился..
    пофиксить в HijackThis не получилось, так как такой строчки почему-то уже не было...
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    То, что строчки не было - хорошо, значит удаление прошло.

    На первый взгляд чисто, но подождем вердикт по остальным файлам.
    The worst foe lies within the self...

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,541
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.sdf ( DrWEB: Trojan.PWS.Panda.114 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Temychko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Помогите избавиться от Win32/Nuwar
      От galdikas в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 23.03.2009, 18:17
    2. Win32/Nuwar
      От A1ekx в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 21.03.2009, 10:34
    3. Ответов: 2
      Последнее сообщение: 22.02.2009, 09:36
    4. Win32/Nuwar.Gen
      От Mud Bull в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:08
    5. win32\Nuwar червь
      От romchyk в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 15.11.2008, 20:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01243 seconds with 21 queries