Похоже подхватил вирус!

Printable View

02.11.2011, 12:46
alger335

Вложений: 3

Похоже подхватил вирус!

Всем доброго времени суток! Значить ситуация следующая: при входе в систему под пользователем с ограниченными правами пытается загрузиться какой то экзешник: ([B]C:\DOCUME~1\4FBA~1\LOCALS~1\TEMPOR~1\Content.IE5\TY9C2V6Y\645C55~1.EXE[/B]) и выскакивает диалоговое окно подтверждения запуска программы, ессно нажимаю "отмена". При входе под админом такого не происходит (кстати пару раз падал winlogon и система вылетала в соответствующий БСОД). Я провел сканирование с помощью AVP Tool, безрезультатно, дальше все сделал по инструкции: проверил с помощью [B][URL="http://z-oleg.com/avz4.zip"]Антивирусная утилита AVZ[/URL].[/B] и [B][URL="http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip"]Утилита HiJackThis[/URL].[/B] Логи прикрепляю. Но вот что интересно: сначала не увидел инструкцию, что запускать эти утилиты нужно под админом и запустил под юзером, и AVZ исправно нашел эту какаху [B]C:\DOCUME~1\4FBA~1\LOCALS~1\TEMPOR~1\Content.IE5\TY9C2V6Y\645C55~1.EXE[/B] и пометил:
[TABLE="width: 100%"]
[TR="bgcolor: #ffc06d"]
[TD]Подозрение эвристического анализа[/TD]
[TD] ЭПС: подозрение на Файл с подозрительным именем (CH - Autorun) (высокая степень вероятности) [/TD]
[/TR]
[/TABLE]
Но при запуске под админом такой строки вообще не было, я так понимаю он ее не видит, в общем подскажите что делать люди добрые)
02.11.2011, 12:47
Info_bot

Уважаемый(ая) [B]alger335[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
02.11.2011, 12:59
alger335

Вложений: 1

P.S. на всякий случай еще прикреплю лог из под юзера, имя файла virusinfo_syscheck_user
02.11.2011, 23:01
ARMA9000

Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\4FBA~1\LOCALS~1\TEMPOR~1\Content.IE5\TY9C2V6Y\645C55~1.EXE','');
DeleteFile('C:\DOCUME~1\4FBA~1\LOCALS~1\TEMPOR~1\Content.IE5\TY9C2V6Y\645C55~1.EXE');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин прислать согласно правилам. Сделать лог MBAM(ссылка в подписи).
03.11.2011, 00:44
alger335

Вложений: 1

Карантин отправил, вот MBAM log.
03.11.2011, 11:03
ARMA9000

Сейчас что с проблемой?
03.11.2011, 11:15
alger335

Вроде все отлично, сразу после выполнения скрипта и перезагрузки перестал грузиться этот экзешник. Что это кстати за гадость была и как от такого уберечься?
03.11.2011, 11:25
ARMA9000

Trojan.PWS.Ibank.332 по классификации DrWeb.
Смените все пароли на всякий случай.
[url]http://virusinfo.info/showthread.php?t=30339[/url] - Рекомендации после лечения или 10 заповедей для здоровья компьютера
03.11.2011, 11:56
alger335

Огромное вам спасибо за помощь, отличный ресурс!
04.11.2011, 11:56
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\4fba~1\\locals~1\\tempor~1\\content.ie5\\ty9c2v6y\\645c55~1.exe - [B]Trojan.Win32.Jorik.Shiz.iww[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Kazy.42116, AVAST4: Win32:Shiz-HU [Trj] )[/LIST][/LIST]