Здравствуйте!
Webmoney заблокировал мой кошелек, потому что с моего компа якобы замечена троянская активность. По субъективным ощущениям, она мной не замечена, и вообще....
Прошу помощи в диагностике, и возможно в лечении.
Здравствуйте!
Webmoney заблокировал мой кошелек, потому что с моего компа якобы замечена троянская активность. По субъективным ощущениям, она мной не замечена, и вообще....
Прошу помощи в диагностике, и возможно в лечении.
это Ваше? Если нет то профиксите в HijackThisR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 222.161.137.199:8080
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('E:\System Volume Information\_restore{AE8E32D6-6D8C-48DB-8EC2-32DCC77518BD}\RP26\A0011213.exe:userini.exe:$DATA',''); QuarantineFile('C:\Bin\wolIT\wolIT.exe',''); QuarantineFile('E:\WINDOWS\system32\keakku32.dll',''); QuarantineFile('E:\DOCUME~1\deem\LOCALS~1\Temp\tempsys.exe',''); DeleteFile('E:\DOCUME~1\deem\LOCALS~1\Temp\tempsys.exe'); DeleteFile('E:\System Volume Information\_restore{AE8E32D6-6D8C-48DB-8EC2-32DCC77518BD}\RP26\A0011213.exe:userini.exe:$DATA'); QuarantineFile('E:\System Volume Information\_restore{AE8E32D6-6D8C-48DB-8EC2-32DCC77518BD}\RP26\A0011213.exe:userini.exe',''); DeleteFile('E:\System Volume Information\_restore{AE8E32D6-6D8C-48DB-8EC2-32DCC77518BD}\RP26\A0011213.exe:userini.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
ProxyServer = 222.161.137.199:8080 Это моё.
Всё сделал по инструкции.
Логи приложил.
Карантин отослал.
Всё уже, можно писать в WebMoney?
Последний раз редактировалось Baloven; 29.10.2010 в 22:16. Причина: дописал
- удалите в MBAM
Перезагрузитесь.Код:Зараженные ключи в реестре: HKEY_CLASSES_ROOT\bitaccelerator.bitaccelerator (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\bitaccelerator.bitaccelerator.1 (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\connectionservices.connectionservices (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\connectionservices.connectionservices.1 (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\Interface\{8cb0d898-a6a2-48c3-bbd7-862f85b18d46} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{c1de446a-8770-4621-9378-f1922c74a36c} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{431d251c-b43a-47d7-b4f4-07a101b432d6} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Trojan.BHO) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\bisoft (Worm.Bagle) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\BitAccelerator (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_RUNTIME (Rootkit.Agent) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken. Объекты реестра заражены: HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\(default) (Backdoor.Bot) -> Bad: (E:\WINDOWS\system32\keakku32.dll) Good: (webcheck.dll) -> No action taken. Зараженные папки: E:\Documents and Settings\deem\Application Data\drivers\downld (Worm.Bagle) -> No action taken. E:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> No action taken. E:\Program Files\ConnectionServices (Trojan.BHO) -> No action taken. E:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken. E:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. Зараженные файлы: C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\nugsifd.sys.58BC444F (Rootkit.Rustock) -> No action taken. C:\Bin\avz4\Infected\2010-06-18\avz00001.dta (Trojan.Dropper) -> No action taken. E:\Dmitriy\Stuff\Demo\fr08v101.exe (Malware.Packer.Krunchy) -> No action taken. E:\Documents and Settings\All Users\Application Data\msedit\0.631726989885699.exe (Worm.KoobFace) -> No action taken. E:\Documents and Settings\All Users\Application Data\msedit\0.631726989885699.exe.bak (Worm.KoobFace) -> No action taken. E:\Program Files\DrWeb\Infected.!!!\6cfb56b8.exe.46D4DCD6 (Trojan.Agent) -> No action taken. E:\System Volume Information\_restore{AE8E32D6-6D8C-48DB-8EC2-32DCC77518BD}\RP26\A0011209.exe (Spyware.Zbot) -> No action taken. E:\System Volume Information\_restore{AE8E32D6-6D8C-48DB-8EC2-32DCC77518BD}\RP26\A0011210.exe (Spyware.Zbot) -> No action taken. E:\System Volume Information\_restore{AE8E32D6-6D8C-48DB-8EC2-32DCC77518BD}\RP26\A0011211.exe (Malware.Packer.Gen) -> No action taken. E:\System Volume Information\_restore{AE8E32D6-6D8C-48DB-8EC2-32DCC77518BD}\RP26\A0011212.exe (Malware.Packer.Gen) -> No action taken. E:\WINDOWS\system32\ypxb.lvo (Backdoor.Bot) -> No action taken. E:\Documents and Settings\deem\Application Data\drivers\downld\82379140.exe (Worm.Bagle) -> No action taken. E:\Documents and Settings\deem\Application Data\drivers\downld\82381609.exe (Worm.Bagle) -> No action taken. E:\Documents and Settings\deem\Application Data\drivers\downld\82382078.exe (Worm.Bagle) -> No action taken. E:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken. E:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken. E:\Documents and Settings\deem\Application Data\drivers\srosa2.sys (Trojan.Agent) -> No action taken. E:\Documents and Settings\deem\Application Data\wiaserva.log (Malware.Trace) -> No action taken. E:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken. E:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken. E:\WINDOWS\system32\a99k.bin (Trojan.Goldun) -> No action taken. E:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken. E:\WINDOWS\system32\mod_st.dat (Trojan.Goldun) -> No action taken.
- Сделайте повторный лог MBAM
Сделал. Всё то что на диске С: то всё не вирусы.
Radmin - cами ставили?
- удалите в MBAM
Код:Зараженные папки: E:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> No action taken. E:\Program Files\ConnectionServices (Trojan.BHO) -> No action taken. E:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken. Зараженные файлы: E:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
Radmin ставил сам.
Остальные папки были пустые, нопонятно как там троян обнаружился.
Равно как в текстовом файлике keylog.txt .
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\bin\\wolit\\wolit.exe - Trojan-Dropper.Win32.Drostuh.dnw ( DrWEB: Trojan.MulDrop1.61851, BitDefender: Trojan.Generic.6057918, AVAST4: Win32:Malware-gen )
- e:\\windows\\system32\\keakku32.dll - Trojan-Banker.Win32.Agent.bfl ( DrWEB: Trojan.PWS.Banker.53038, BitDefender: Trojan.Generic.5064682, AVAST4: Win32:Spyware-gen [Spy] )
Уважаемый(ая) Baloven, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.