Подозрение на вирус/троян

[Cheba]

В общем был факт кражи пароля, с кражей безналичных.
Скорее всего может быть из-за вредоносных программ.
Добрые люди посмотрите пожалуйста.

p.s кража была через Я.Д (Веб форму)

[Шапельский Александр]

Карантин удалите из темы, а лог virusinfo_syscheck.zip прикрепите

[polword]

+ к shapel

- обновите базы AVZ и переделайте логи virusinfo_syscheck.zip; virusinfo_syscure.zip

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\FWH38.tmp','');
 DeleteService('GarenaPEngine');
 DelBHO('{C55BBCD6-41AD-48AD-9953-3609C48EACC7}');
 DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
 DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}');
 DelBHO('{32099AAC-C132-4136-9E9A-4E364A424E17}');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 DelBHO('{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}');
 DelBHO('{18DF081C-E8AD-4283-A596-FA578C2EBDC3}');
 DelBHO('{000123B4-9B42-4900-B3F7-F4B073EFC214}');
 QuarantineFile('C:\Documents and Settings\Admin.CHEBA_SERVER\Рабочий стол\install.exe','');
 QuarantineFile('c:\program files\webmoney agent\wmagent.exe','');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\FWH38.tmp');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

[Cheba]

Выполнил.

[polword]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Documents and Settings\Admin.CHEBA_SERVER\Рабочий стол\install.exe','');
 BC_ImportAll;
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[Cheba]

Сделал.

Файл сохранён как 100322_122901_quarantine_4ba7385de9b4a.zip
Размер файла 921004
MD5 4f9df195c0ff43ac9d5eb358b3a91503

[Cheba]

Что-то не так?

[polword]

- Выполните скрипт в AVZ

Код:

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте логи virusinfo_syscheck.zip;

файл C:\Documents and Settings\Admin.CHEBA_SERVER\Рабочий стол\install.exe - это инстал чего?

[Cheba]

Готово

C:\Documents and Settings\Admin.CHEBA_SERVER\Рабочий стол\install.exe - в ручную удалил. Не знаю что за файл.

[Шапельский Александр]

C:\Documents and Settings\Admin.CHEBA_SERVER\Рабочий стол\install.exe - в ручную удалил. Не знаю что за файл.

Проверка несколькими антивирусами: KIS 2009=Файл чистый; DrWEB 5.0=Файл чистый; VBA32=Зловред Trojan-Downloader.Win32.Delf.txh; BitDefender=Файл чистый; NOD32=Зловред Win32/TrojanDownloader.Delf.OUP trojan; Avast4=Файл чистый (на 22.03.2010 12:33:17)

В логе чисто, что с проблемой?

[Cheba]

Спасибо все помогло только вот щас от смеха лопну. Походу новый поймал.
Каспер совсем облинился =(

[Cheba]

Вот что я сейчас имею

[Cheba]

Ясно. спасибо...

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syspck32.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\xysip.SYS','');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\syspck32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

[Cheba]

Файл сохранён как 100404_165716_2010-04-04_4bb88cac969da.zip
Размер файла 22744
MD5 3da98bdf034afbb44ebb3e3bef49b618


Выполнил

[AndreyKa]

Пофиксте в HijackThis строку:

F2 - REG:system.ini: O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.

Очистите карантин. Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 20
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\admin\главное меню\программы\автозагрузка\syspck32.exe - Trojan.Win32.Inject.aojx ( DrWEB: Trojan.Botnetlog.126, AVAST4: Win32:Rootkit-gen [Rtk] )