Троян Jorik.Lolbot
Заметил, что на флешках стал появляться подозрительный авторан и скрытая папка с исполнительным фалом. Загрузил его на вирустотал - выдал название Trojan.Win32.Jorik.Lolbot.hi, как с ним бороться в интернете не нашел.
Прошу вашей помощи! Заранее благодарю.
Последний раз редактировалось D4Ni3L; 11.11.2010 в 19:08.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); TerminateProcessByName('c:\docume~1\4b0e~1\locals~1\temp\lsass.exe'); QuarantineFile('C:\DOCUME~1\4B0E~1\LOCALS~1\Temp\lsass.exe',''); DeleteFile('C:\DOCUME~1\4B0E~1\LOCALS~1\Temp\lsass.exe'); DeleteFile('C:\Program Files\Internet Explorer0\setupapi.rar'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Firewall'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Firewall'); QuarantineFile('G:\autorun.inf',''); QuarantineFile('G:\TTHDHGC\DFG-2352-66235-2352322-634621321-6662355\364855.exe',''); DeleteFile('G:\TTHDHGC\DFG-2352-66235-2352322-634621321-6662355\364855.exe'); DeleteFile('G:\autorun.inf'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи
карантин 101111_200657_quarantine_4cdc22b148588.zip
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin DeleteFile('C:\Documents and Settings\Данёк\Application Data\Desktopicon\eBayShortcuts.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
C:\Program Files\mirc\mirc.exe.bak - знакомо Вам, знаете что это такое?
да, это непропатченный мирк клиент.
в общем, кажется всё удалось! на флешки ничего не копируется.
Гениально!) спасибо!
Рекомендуется
- Установить все важные обновления.
- Установить IE 8 - даже если Вы им не пользуетесь.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) D4Ni3L, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
