Словил трояна

[gavril]

Антивирус пропустил трояна e.exe из инета, вылечил его CureIt, но остались подозрение на наличие руткита в системе. Проверьте, пожалуйста.
На autorun.inf на I:\ и J:\ не обращайте внимания, они сделаны Panda USB Vaccine.

[polword]

1. Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\411b6842.exe,\\?\globalroot\systemroot\system32\hLisNfh.exe,

2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('J:\autorun.inf','');
 QuarantineFile('I:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\drivers\wpsdrvnt.sys','');
 QuarantineFile('C:\dvbdream\dvbdream.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\hLisNfh.exe','');
 QuarantineFile('C:\WINDOWS\system32\411b6842.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
 DeleteFile('C:\WINDOWS\system32\411b6842.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\hLisNfh.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[gavril]

Карантин залил, логи после скриптов:

[gavril]

Есть еще один подозрительный exe файл C:\WINDOWS\system32\1120YLc.exe, дата - после заражения. Могу выслать для проверки. Пока просто переименовал.

[V_Bond]

высылайте ...

[gavril]

Отправил 1120YLc.zip с паролем virus

Добавлено через 21 минуту

И еще пару подозрительных exe файлов из system32 выслал, дата сегодняшняя (на тот момент скрипты в avz еще не выполнял).

[AndreyKa]

Все 3 файла в крайних 2-х архивах - Trojan.PWS.Ibank.28.

Не видно ничего подозрительного. Проблема решена?

[gavril]

Да, больше ничего подозрительного не замечено.
Большое спасибо за помощь

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\411b6842.exe - Trojan-Dropper.Win32.Small.exr ( DrWEB: Trojan.MulDrop.64715, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Rootkit-gen [Rtk] )
  2. \disfr20.exe - Trojan-Dropper.Win32.Shiz.ck ( DrWEB: Trojan.PWS.Ibank.28, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Malware-gen )
  3. \\?\globalroot\systemroot\system32\hlisnfh.exe - Trojan-Dropper.Win32.Shiz.ci ( DrWEB: Trojan.PWS.Ibank.28, BitDefender: Gen:Variant.FakeAlert.4 )
  4. \ttz9h3v.exe - Trojan-Dropper.Win32.Shiz.ck ( DrWEB: Trojan.PWS.Ibank.28, BitDefender: Gen:Variant.FakeAlert.4, AVAST4: Win32:Malware-gen )
  5. \1120ylc.exe - Trojan-Dropper.Win32.Shiz.cj ( DrWEB: Trojan.PWS.Ibank.28, BitDefender: Gen:Variant.FakeAlert.4 )