помогите....
сегодня нод32 начал выдавать что заблокирован модифицированный win32/Nuwar с адреса http://ps-banking.cn/x.exe . Искал в компе, никак не найду где он..
помогите....
сегодня нод32 начал выдавать что заблокирован модифицированный win32/Nuwar с адреса http://ps-banking.cn/x.exe . Искал в компе, никак не найду где он..
Последний раз редактировалось Temychko; 16.04.2009 в 16:49.
Деактивируйте пожалуйста ссылку в своем сообщении.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\gdrv.sys',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); DeleteFile('C:\System Volume Information\_restore{98F492D8-7881-430A-8C87-900093689659}\RP22\A0011110.exe'); ClearHostsFile; BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
The worst foe lies within the self...
Файл сохранён как 090416_165716_virus_49e72b2c38965.zip
Размер файла 638909
MD5 2df4e2a31613d4ff2d65d97521267c94
когда выполнялся скрипт, успелувидеть что невозможно было поместить файл sdra64.exe в карантин
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); ClearHostsFile; BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
3. Повторите логиКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Он все-же попал в карантин: DrWEB 5.0= Trojan.PWS.Panda.114
Т.е. ворует пароли. После лечения очень рекомендуется сменить пароли
The worst foe lies within the self...
код в AVZ выполнил, комп перезагрузился..
пофиксить в HijackThis не получилось, так как такой строчки почему-то уже не было...
То, что строчки не было - хорошо, значит удаление прошло.
На первый взгляд чисто, но подождем вердикт по остальным файлам.
The worst foe lies within the self...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.sdf ( DrWEB: Trojan.PWS.Panda.114 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Temychko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.