-
Junior Member
- Вес репутации
- 58
Опять зловреды проявились!
Доброго времени суток, господа! Давненько я к вам не обращался... Похоже мне опять в комп вирусни понакидали. Из обнаруженного: PWS.panda.117; win32/spy.zbot.D; keylogger.3483 и еще что-то было.. (Это по др Вебу) А вообще, 4 дня глючит аська, постоянные разрывы соединения, потери сообщений, чего никогда раньше не было. Похоже, что взломать пытаются, что ли? Сегодня Эксплорер стал вылетать сам по себе.
Др вебом и Нодом прогонял, потом логи сделал, похоже еще что-то осталось.. Посмотрите, подскажите чего и как!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!!!
Пофиксите строчку в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\sdra64.exe,
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('D:\1\winio.sys','');
QuarantineFile('C:\WINDOWS\innounp.exe','');
QuarantineFile('c:\Program Files\Common Files\EFI\EFI ES-1000 Service\ES1000Service.exe','');
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\6EyW083o.sys','');
DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\6EyW083o.sys');
BC_DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\6EyW083o.sys');
DeleteFile('D:\1\winio.sys');
BC_DeleteFile('D:\1\winio.sys');
DeleteService('WINIO');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('c:\windows\system32\sdra64.exe');
BC_DeleteFile('c:\windows\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('WINIO');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузиться!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы
Повторите логи по правилам.
Это ваше?
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://192.168.0.1:8080/config.script
-
-
Junior Member
- Вес репутации
- 58
Строчку пофиксил, скрипт выполнил, все прошло успешно. АйПишник наш... Новые логи прилагаю, карантин тоже закину. Жду результатов! Кстати.. а могло чего-нибудь уйти на сторону (ну там пароли, инфа) и насколько серьезная гадость поселилась?
-
Junior Member
- Вес репутации
- 58
Так и что? мне никто ничего не ответит? Или все еще в работе?
-
Зараза прибита, в логах чисто. Инфа вполне могла уйти (а может и нет). У вас был троян-шпион из семейства Zbot, вот описание одного из экземпляров - тык
-
-
Junior Member
- Вес репутации
- 58
Ой, ну спасибо большое! Я уж думал, про меня забыли! А panda.117 с кейлоггером это тоже к Z-боту относились? Ну а так вроде все цело, все на месте, спам ниоткуда от меня не ползет... Он у меня аську долбил постоянно, это точно... Сейчас все хорошо, проблем пока нет.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения вредоносные программы в карантинах не обнаружены
-