-
Junior Member
- Вес репутации
- 53
trojan.fakealert.4625
здравствуйте! подцепил зловредный trojan.fakealert.4625 (win xp sp3)
симптомы:
1) pop-up сообщение "windows security alert" из трея от бутафорской Antivirus System PRO
2) при запуске любого exe вылезает сообщение типа: нельзя выполнить, данное exe инфицировано, применить антивирус? да/нет (на англ.)
3) периодически запускается IE и залазит на сайты сомнительного содержания)
надеюсь на вашу помощь!
p.s. предположительный источник трояна - программа tvuplayer, тк я слышал что якобы там могут быть трояны, а все симптомы появились на след. день после её установки
Последний раз редактировалось PavelA; 27.10.2009 в 16:24.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lsp.dll','');
QuarantineFile('C:\Program Files\oldfsi\jqmfsysguard.exe','');
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
QuarantineFile('C:\WINDOWS\system32\iehelper.dll','');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','UpdateCheck');
DeleteFile('C:\WINDOWS\system32\lsp.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(14);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
Возможно пропадание интернета
Если невозможно будет выйти в интернет, тогда выполните такой скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(15);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 53
пока все по-старому. virus.zip отправил, вот новые логи:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\program files\oldfsi\jqmfsysguard.exe');
DeleteFile('C:\Program Files\oldfsi\jqmfsysguard.exe');
DeleteFileMask('C:\Program Files\oldfsi\','*.*',true);
DeleteDirectory('C:\Program Files\oldfsi\');
DeleteFile('C:\WINDOWS\system32\iehelper.dll');
DelBHO('{C277B942-1F68-486b-8F95-6E486A13F148}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','system tool');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 53
Venus Doom, нужно ли перед выполнением скрипта сделать:
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
(как ранее писал shapel)?
-
Разумеется, если вы щелкните ссылку "подробнее..." то увидите там такие же указания
-
-
Junior Member
- Вес репутации
- 53
спасибо, вроде бы все исчезло.
p.s. после выполнения вашего скрипта комп автоматически почему-то не перегрузился, сделал вручную
-
O2 - BHO: Ask Toolbar BHO -- если не пользуйтесь, то лучше деинсталлировать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
удалил. больше ничего делать не надо? на всякий случай опять логи
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
всем кто принимал участие огромное спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\oldfsi\jqmfsysguard.exe - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.684, BitDefender: Trojan.Generic.2613002, NOD32: Win32/Kryptik.BAK.gen trojan, AVAST4: Win32:Bredolab-AP [Trj] )
- c:\windows\system32\iehelper.dll - Trojan.Win32.BHO.whc ( DrWEB: Trojan.Fakealert.4625, BitDefender: Trojan.Generic.2601447, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\lsp.dll - Trojan.Win32.Agent2.cjya ( DrWEB: Trojan.Siggen.9595, BitDefender: Application.Generic.248984 )
-