Антивирус пропустил трояна e.exe из инета, вылечил его CureIt, но остались подозрение на наличие руткита в системе. Проверьте, пожалуйста.
На autorun.inf на I:\ и J:\ не обращайте внимания, они сделаны Panda USB Vaccine.
Антивирус пропустил трояна e.exe из инета, вылечил его CureIt, но остались подозрение на наличие руткита в системе. Проверьте, пожалуйста.
На autorun.inf на I:\ и J:\ не обращайте внимания, они сделаны Panda USB Vaccine.
1. Профиксите в HijackThis как "профиксить в HiJackThis"
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\411b6842.exe,\\?\globalroot\systemroot\system32\hLisNfh.exe,
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('J:\autorun.inf',''); QuarantineFile('I:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\drivers\wpsdrvnt.sys',''); QuarantineFile('C:\dvbdream\dvbdream.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\hLisNfh.exe',''); QuarantineFile('C:\WINDOWS\system32\411b6842.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys',''); DeleteFile('C:\WINDOWS\system32\411b6842.exe'); DeleteFile('\\?\globalroot\systemroot\system32\hLisNfh.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Карантин залил, логи после скриптов:
Есть еще один подозрительный exe файл C:\WINDOWS\system32\1120YLc.exe, дата - после заражения. Могу выслать для проверки. Пока просто переименовал.
высылайте ...
Отправил 1120YLc.zip с паролем virus
Добавлено через 21 минуту
И еще пару подозрительных exe файлов из system32 выслал, дата сегодняшняя (на тот момент скрипты в avz еще не выполнял).
Последний раз редактировалось gavril; 16.04.2010 в 22:37. Причина: Добавлено
Все 3 файла в крайних 2-х архивах - Trojan.PWS.Ibank.28.
Не видно ничего подозрительного. Проблема решена?
Да, больше ничего подозрительного не замечено.
Большое спасибо за помощь
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\411b6842.exe - Trojan-Dropper.Win32.Small.exr ( DrWEB: Trojan.MulDrop.64715, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Rootkit-gen [Rtk] )
- \disfr20.exe - Trojan-Dropper.Win32.Shiz.ck ( DrWEB: Trojan.PWS.Ibank.28, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Malware-gen )
- \\?\globalroot\systemroot\system32\hlisnfh.exe - Trojan-Dropper.Win32.Shiz.ci ( DrWEB: Trojan.PWS.Ibank.28, BitDefender: Gen:Variant.FakeAlert.4 )
- \ttz9h3v.exe - Trojan-Dropper.Win32.Shiz.ck ( DrWEB: Trojan.PWS.Ibank.28, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Malware-gen )
- \1120ylc.exe - Trojan-Dropper.Win32.Shiz.cj ( DrWEB: Trojan.PWS.Ibank.28, BitDefender: Gen:Variant.FakeAlert.4 )
Уважаемый(ая) gavril, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.