Профилактика

**gshark** · 09.11.2010, 02:29

Доброго дня.

Все началось с того как Кис2010 начал ругаться на лаунчер к одной из онлайн игр, хотя до этого месяца 3 все было ок. Лаунчер я удалил и сделал проверку полную. На лаунчер ругался как Trojan-Dropper.Win32.PurityScan.ht Также закинул его и на вирустотал, но все чисто.

Потом сразу же я сделал полную проверку Кис2010, все чисто.

А на ночь решил в безопастном режими прогнать Drweb куритом.
И вот такой был вот результат:

Aco33FTPv20a.exe C:\Documents and Settings\Nicks\My Documents\best_ftp_skin_ever\FPM-Installers Trojan.Packed.19697 Удален.
EggoFTPv10a.exe C:\Documents and Settings\Nicks\My Documents\best_ftp_skin_ever\FPM-Installers Trojan.Packed.19697 Удален.
Aco33FTPv20a.exe C:\Program Files\Full Tilt Poker\Graphics\FPM-Installers Trojan.Packed.19697 Удален.
EggoFTPv10a.exe C:\Program Files\Full Tilt Poker\Graphics\FPM-Installers Trojan.Packed.19697 Удален.
A0016000.exe C:\System Volume Information\_restore{2BAD0FBA-C7DB-4AE7-BA9D-D9F35C57A27F}\RP14 Trojan.Packed.19697 Удален.
A0016001.exe C:\System Volume Information\_restore{2BAD0FBA-C7DB-4AE7-BA9D-D9F35C57A27F}\RP14 Trojan.Packed.19697 Удален.
A0002492.exe C:\System Volume Information\_restore{2BAD0FBA-C7DB-4AE7-BA9D-D9F35C57A27F}\RP2 Trojan.Packed.19697 Удален.
A0002493.exe C:\System Volume Information\_restore{2BAD0FBA-C7DB-4AE7-BA9D-D9F35C57A27F}\RP2 Trojan.Packed.19697 Удален.

Первые 4 файла это из папки модов к одному из покеррумов. Валяются на компе около года. Ехе'шники я эти никогда не запускал, просто целой папкой копипастил чтобы менять скин.
А что значат последние 4 файла я не знаю.

После этого я решил поставить Кис 2011 и прогнал полную проверочку. Все чисто.

После этого сделал логи по FAQ.

Хотел бы проконсультироваться у Вас. Что это было и насколько это опасно для кражи данных с моего компьютера?
Заранее спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 09.11.2010, 02:55

1.Профиксите в HijackThis

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O9 - Extra button: Ladbrokes Poker - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\LadbrokesMPP\MPPoker.exe (file missing) (HKCU)

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\cpuz134_x32.sys','');
 QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
 DeleteService('Schedule');
 DeleteFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**gshark** · 09.11.2010, 03:22

Файл quarantine.zip выслал!

логи сделал

**polword** · 09.11.2010, 04:27

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .

После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.

**gshark** · 09.11.2010, 05:45

спасибо, все сделал, правда AVZ все время снова направляет обновить безопасность IE

Накопительное обновление безопасности для браузера Internet Explorer

хотя по ссылке обновление поставил 2 раза одно и тоже.

Хотел бы еще уточнить, по поводу того что было найдено на моем компьютере? И есть ли риск дальнейшего использования это системой (в смысле о том что, мб лучше новую переустановить? т.к для меня очень важна чистота системы)

Заранее спасибо!

**polword** · 09.11.2010, 06:19

в карантин ничего не попало. В системе по логам подозрительного нет

**gshark** · 09.11.2010, 16:12

спасибо, тему можно закрывать

**CyberHelper** · 10.11.2010, 16:12

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения вредоносные программы в карантинах не обнаружены

Профилактика (заявка № 91349)

Опции темы