Здравствуйте, прошу в помощи по отлову заразы, которая украла у меня Web Money кошелек. Проверка AVZ выявила кейлогер notepad.exe. Пользуюсь NOD32.
Здравствуйте, прошу в помощи по отлову заразы, которая украла у меня Web Money кошелек. Проверка AVZ выявила кейлогер notepad.exe. Пользуюсь NOD32.
1. Пожалуйста, выполните скрипт AVZ:
В ходе выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); QuarantineFile('logon.scr', 'CHQ=N'); QuarantineFile('SDEvents.dll', 'CHQ=N'); QuarantineFile('C:\Temp\D5geUgzz.sys', 'CHQ=S'); QuarantineFile('c:\temp\rarsfx0\72pcaxp.exe', 'CHQ=N'); QuarantineFile('wininet.dll', 'CHQ=N'); QuarantineFile('C:\WINDOWS\system32\86f1fafb.exe', 'CHQ=S'); QuarantineFile('C:\WINDOWS\system32\clipsrv.exe', 'CHQ=S'); QuarantineFile('C:\WINDOWS\system32\msdtc.exe', 'CHQ=S'); QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe', 'CHQ=S'); QuarantineFile('C:\WINDOWS\System32\PrintFilterPipelineSvc.exe', 'CHQ=N'); QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll', 'CHQ=S'); QuarantineFile('c:\windows\system32\users32.exe', 'CHQ=S'); QuarantineFile('C:\WINDOWS\System32\wiadefui.dll', 'CHQ=N'); QuarantineFile('C:\WINDOWS\system32\wuauclt.exe', 'CHQ=S'); QuarantineFile('e:\asuite.exe', 'CHQ=N'); QuarantineFile('E:\libmng.dll', 'CHQ=N'); QuarantineFile('C:\Program Files\Mediafour\MacDrive 7\M4TaskDialog.dll', 'CHQ=G'); QuarantineFile('c:\program files\mediafour\macdrive 7\macdrive.exe', 'CHQ=G'); QuarantineFile('c:\program files\mediafour\macdrive 7\macdriveservice.exe', 'CHQ=G'); QuarantineFile('C:\Program Files\Mediafour\MacDrive 7\MDGetStarted.exe', 'CHQ=G'); QuarantineFile('C:\Program Files\Mediafour\MacDrive 7\MDOptions.dll', 'CHQ=G'); QuarantineFile('C:\Program Files\Common Files\Mediafour\1033\MACFPROP.DL_', 'CHQ=G'); QuarantineFile('C:\Program Files\Common Files\Mediafour\M4LIC.DLL', 'CHQ=G'); QuarantineFile('C:\Program Files\Common Files\Mediafour\MACFPROP.DLL', 'CHQ=G'); BC_QrFile('C:\Temp\D5geUgzz.sys'); BC_QrFile('C:\WINDOWS\system32\86f1fafb.exe'); BC_QrFile('C:\WINDOWS\system32\ntkrnlpa.exe'); BC_QrFile('C:\WINDOWS\System32\PrintFilterPipelineSvc.exe'); BC_QrFile('C:\WINDOWS\system32\sfcfiles.dll'); BC_QrFile('c:\windows\system32\users32.exe'); BC_QrFile('C:\WINDOWS\system32\wuauclt.exe'); BC_Activate; RebootWindows(true); end.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean
Скрипт выполнен карантин выслан
c:\windows\system32\users32.exe - DrWEB : Подозрение DLOADER.Trojan;
Странно то, что в логе виден запущенный CureIt и скорее всего файл users32.exe был удален, но попал на следущий день в карантин.
Вывод: защита на компьютере - решето.
Установите Service Pack 3 для Windows ХР (может потребоваться активация).
Установите обновления безопасности на Windows.
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Сделайте новые логи и приложите к этой теме.
Теперь DrWEB определяет файл c:\windows\system32\users32.exe как Program.MoneyLand. Вы такую программу устанавливали?
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 78
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) p0lym0rph, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.