Троянская программа и Trojan.MulDrop1.3316.

**Rcuif** · 27.02.2010, 20:18

В Internet Explorer стояла высокая защита. Из-за этого не могла зайти на сайты в которых была зарегистрированна. Сделала защиту ниже. При работе (открытие, закрытие) окон началось сильное торможение. Пару раз была произвольная перезагрузка. И вдруг Dr. Web сообщил, что найден вирус Trojan.MulDrop1.3316-пропала языковая панель. Dr. Web больше ничего не обнаружил. А при проверке компа для раздела помогите Касперский обнаружил Троянскую программу - Trojan-Banker.Win32.Bancos.mwz, которую удалила как и вирус. Посмотрите пожалуйста логи. Может быть, что-то осталось. И что это за троянская программа, я что-то про нее ничего не нашла.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**CyberHelper** · 27.02.2010, 20:24

1. Пожалуйста, выполните скрипт AVZ:

Код:

begin
 SearchRootkit(true, true);
 QuarantineFile('C:\Разные папки\Журналы\Мои книги\Большая энциклопедия фитнеса\Большая энциклопедия фитнесса\content\Kinds\silovaya\sgibaniya.files\arm14.jpg', 'CHQ=S');
 QuarantineFile('D:\WINDOWS\System32\PrintFilterPipelineSvc.exe', 'CHQ=N');
 QuarantineFile('D:\WINDOWS\system32\sfcfiles.dll', 'CHQ=S');
 QuarantineFile('D:\WINDOWS\System32\Drivers\sptd.sys', 'CHQ=N');
 QuarantineFile('D:\DOCUME~1\D523~1\LOCALS~1\Temp\Rar$EX00.344\HDInspector_Portable_3.1.201_MultiLang\App\HDInspector\HDDSvc.exe', 'CHQ=N');
 QuarantineFile('D:\WINDOWS\system32\hpzipr12.dll', 'CHQ=G');
 QuarantineFile('D:\Program Files\HP\Digital Imaging\bin\hpocxi08.dll', 'CHQ=G');
 QuarantineFile('D:\Program Files\HP\Digital Imaging\bin\hpotra08.dll', 'CHQ=G');
 QuarantineFile('D:\Program Files\HP\Digital Imaging\bin\hpotradd.dll', 'CHQ=G');
 QuarantineFile('D:\Program Files\HP\Digital Imaging\bin\hpqcob08.dll', 'CHQ=G');
 QuarantineFile('D:\Program Files\HP\Digital Imaging\bin\hpqgpb01.dll', 'CHQ=G');
 QuarantineFile('d:\program files\hp\digital imaging\bin\hpqgpc01.exe', 'CHQ=G');
 QuarantineFile('D:\Program Files\HP\Digital Imaging\bin\hpqrif08.dll', 'CHQ=G');
 QuarantineFile('D:\Program Files\HP\Digital Imaging\bin\hpqtap08.dll', 'CHQ=G');
 BC_QrFile('C:\Разные папки\Журналы\Мои книги\Большая энциклопедия фитнеса\Большая энциклопедия фитнесса\content\Kinds\silovaya\sgibaniya.files\arm14.jpg');
 BC_QrFile('D:\WINDOWS\System32\PrintFilterPipelineSvc.exe');
 BC_QrFile('D:\WINDOWS\system32\sfcfiles.dll');
 BC_QrFile('D:\WINDOWS\System32\Drivers\sptd.sys');
 BC_QrFile('D:\DOCUME~1\D523~1\LOCALS~1\Temp\Rar$EX00.344\HDInspector_Portable_3.1.201_MultiLang\App\HDInspector\HDDSvc.exe');
 BC_Activate;
 RebootWindows(true);
end.

В ходе выполнения скрипта компьютер перезагрузится.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean

**Rcuif** · 27.02.2010, 22:20

Карантин отправила, только он у меня из двух частей, так как логи получились в разные числа. Получен карантин или нет?

Добавлено через 3 минуты

А что здесь делать (3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean), подскажите пожалуйста чайнику.

**pig** · 27.02.2010, 22:45

Пройдите по ссылке и почитайте. Там ещё ссылка есть, за которой подробная инструкция.

**Rcuif** · 27.02.2010, 22:52

А карантин есть или нет?

**DefesT** · 28.02.2010, 00:39

карантин не получен!

**Rcuif** · 01.03.2010, 20:39

А теперь карантин есть?

Добавлено через 8 минут

3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean - это вроде тоже сделала, файл отправила. А что дальше делать скажите пожалуйста.

**DefesT** · 01.03.2010, 21:39

Карантин загружать вот по этой ссылке (Прислать запрошенный карантин вверху темы)

**Rcuif** · 01.03.2010, 22:08

Я так и делаю , но что-то не получается. Что делать?

**pig** · 01.03.2010, 22:34

А что конкретно не получается?

**Rcuif** · 01.03.2010, 22:43

Идет загрузка карантина, вроде выдает: готово. Или начинается загрузка вроде бы уже должна закончиться, но виснет на ожидании. И так может продолжаться долго. Самое большее прождала час, больше терпения не хватило. Что делать незнаю, может быть это что-то у меня не так?

**Rcuif** · 02.03.2010, 22:17

Попробовала еще отправить карантин, но кажется опять ничего не получилось. Посмотрите пожалуйста есть карантин или опять нет.

**Шапельский Александр** · 02.03.2010, 22:21

Карантин не получен.

**DefesT** · 02.03.2010, 22:25

Rcuif, Сейчас какие-нибудь проблемы с системой наблюдаются?

**Rcuif** · 02.03.2010, 22:36

Опять появилось торможение при работе с окнами и программами (открытие,закрытие). Торможение пропадало на время после удаления троянской программы. Может быть что-то опять влезло. Что делать и как карантин отправить? И как востановить языковую панель?

**Rcuif** · 03.03.2010, 22:09

Подскажите пожалуйста, что теперь делать?

**DefesT** · 04.03.2010, 00:01

Сделайте новые логи AVZ

**Rcuif** · 04.03.2010, 22:01

Новые логи AVZ сделала.

**Шапельский Александр** · 04.03.2010, 22:14

Выполнить скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('E:\Разное обучение\Игры\сборник игр - 17\Скрытые чудеса глубин\HWD------------------------.exe','');
 QuarantineFile('E:\Разное обучение\Игры\сборник игр - 17\Пляжный Переполох\BeachPartyCraze-Rus------------------.exe','');
 QuarantineFile('E:\Разное обучение\Игры\СБОРНИК ИГР - 13\Колыбель Света\Cradle_of_Light.exe','');
 QuarantineFile('E:\Разное обучение\Игры\СБОРНИК ИГР - 13\бонус\KOI_screensaver1.02\Patch\KP Patch.exe','');
 QuarantineFile('E:\Разное обучение\Игры\Games2\Twistingo\keygen.exe','');
 QuarantineFile('E:\Разное обучение\Игры\Games2\MemoryLoops\keygen.exe','');
 QuarantineFile('E:\Разное обучение\Игры\Games2\MagicTea\keygen.exe','');
 QuarantineFile('E:\Разное обучение\Игры\Games2\BubblefishBob\keygen.exe','');
 QuarantineFile('C:\Торрент\DOC_Disain\REANIM\recover\COMMAND.COM','');
 QuarantineFile('C:\Разные папки\Игры\Spiderz---------.exe','');
 QuarantineFile('C:\Разные папки\Игры\Penguins.sfx.exe','');
 QuarantineFile('C:\Разные папки\Журналы\Мои книги\Большая энциклопедия фитнеса\Большая энциклопедия фитнесса\content\Kinds\silovaya\sgibaniya.files\arm14.jpg','');
 QuarantineFile('D:\WINDOWS\system32\sfcfiles.dll','');
 QuarantineFile('C:\System Volume Information\_restore{F658D354-675B-4FF7-A32D-1409DC1B3865}\RP25\A0028303.exe','');
 QuarantineFile('C:\System Volume Information\_restore{F658D354-675B-4FF7-A32D-1409DC1B3865}\RP26\A0028407.exe','');
 QuarantineFile('C:\System Volume Information\_restore{F658D354-675B-4FF7-A32D-1409DC1B3865}\RP26\A0028408.exe','');
 QuarantineFile('C:\System Volume Information\_restore{F658D354-675B-4FF7-A32D-1409DC1B3865}\RP26\A0028412.exe','');
 QuarantineFile('C:\System Volume Information\_restore{F658D354-675B-4FF7-A32D-1409DC1B3865}\RP26\A0028425.exe','');
 QuarantineFile('C:\System Volume Information\_restore{F658D354-675B-4FF7-A32D-1409DC1B3865}\RP26\A0028434.exe','');
 QuarantineFile('C:\System Volume Information\_restore{F658D354-675B-4FF7-A32D-1409DC1B3865}\RP9\A0018677.EXE','');
 QuarantineFile('E:\System Volume Information\_restore{F658D354-675B-4FF7-A32D-1409DC1B3865}\RP28\A0028607.exe','');
 DeleteFile('E:\System Volume Information\_restore{F658D354-675B-4FF7-A32D-1409DC1B3865}\RP28\A0028607.exe');
 DeleteFile('C:\System Volume Information\_restore{F658D354-675B-4FF7-A32D-1409DC1B3865}\RP9\A0018677.EXE');
 DeleteFile('C:\System Volume Information\_restore{F658D354-675B-4FF7-A32D-1409DC1B3865}\RP26\A0028434.exe');
 DeleteFile('C:\System Volume Information\_restore{F658D354-675B-4FF7-A32D-1409DC1B3865}\RP26\A0028425.exe');
 DeleteFile('C:\System Volume Information\_restore{F658D354-675B-4FF7-A32D-1409DC1B3865}\RP26\A0028412.exe');
 DeleteFile('C:\System Volume Information\_restore{F658D354-675B-4FF7-A32D-1409DC1B3865}\RP26\A0028408.exe');
 DeleteFile('C:\System Volume Information\_restore{F658D354-675B-4FF7-A32D-1409DC1B3865}\RP26\A0028407.exe');
 DeleteFile('C:\System Volume Information\_restore{F658D354-675B-4FF7-A32D-1409DC1B3865}\RP25\A0028303.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

Сделайте лог MBAM