trojan.winlock.3305

Printable View

10.06.2011, 07:27
vatsaren

trojan.winlock.3305

вот логи.Извините ошибся банер trojan.winlock.2741
10.06.2011, 07:27
Info_bot

Уважаемый(ая) [B]vatsaren[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
10.06.2011, 15:07
Bratez

Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
F2 - REG:system.ini: Shell=explorer.exe "C:\DOCUME~1\Admin\LOCALS~1\Temp\R66v.exe"
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Admin\Application Data\lsass.exe
O4 - HKLM\..\Run: [Shell] "C:\DOCUME~1\Admin\LOCALS~1\Temp\R66v.exe"
O4 - Startup: setup_9.0.0.722_09.06.2011_14-50.lnk = ?
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\lsass.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\R66v.exe','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\R66v.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\lsass.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=103382[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
10.06.2011, 17:47
vatsaren

Всё после того как в авз ввёл логи компьютер перезагрузился и банера нету спс огромное!!!Ещё вопрос а логи которые щас присылать или ненадо???И что нужно сделать что бы небыло троянов?
10.06.2011, 18:20
Bratez

Новые логи для контроля обязательно.
11.06.2011, 00:08
vatsaren

вот
11.06.2011, 09:21
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
11.06.2011, 10:20
vatsaren

Этот антивирус заблокировал мне доступ к половине сайтов это так и должно быть???
11.06.2011, 10:58
thyrex

[QUOTE='vatsaren;796788']Этот антивирус заблокировал мне доступ к половине сайтов это так и должно быть???[/QUOTE]О чем речь???
11.06.2011, 18:48
vatsaren

О МВАМ, о том что после проверки множество сайтов просто напросто выдают ошибку (Невозможно подключиться к удалённому серверу).И никакого блокнота непоявилось после сканироввания
11.06.2011, 19:06
vatsaren

Нашёл
12.06.2011, 12:08
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Зараженные файлы:
c:\documents and settings\Admin\local settings\Temp\0.5141057959809507.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9710016189428696.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.755045920798941.exe (Trojan.Dropper) -> No action taken.[/code]
12.06.2011, 16:38
vatsaren

а как найти все строки в МВАМ???

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Меня начиная с завтрашнего утра не будет дома всё лето так что если чё продолжим всё это когда я вернусь
12.06.2011, 17:55
thyrex

В сообщении №12 по ссылке в первом предложении перейдите
12.06.2011, 23:12
vatsaren

Вот
13.06.2011, 01:08
thyrex

И почему ничего не удалили???
13.06.2011, 10:13
vatsaren

Я удали может сохранились оставшиеся логи в другом документе?
13.06.2011, 10:17
vatsaren

всё понял как)))Надуюсь делать ничего непридётся больше птому что я щас уже уезжаю
14.06.2011, 12:42
thyrex

Плохого не видно