Trojan.Win32.Banker

Printable View

20.08.2007, 18:03
favarit

Вложений: 3

Trojan.Win32.Banker

Поймал вот Trojan.Win32.Banker. Где не знаю. Почему его пропустил Dr.Web тоже загадка.

Проявляет себя следующим образом: Отключает виндосовский файервол, создал в корне диска "C" ряд файлов (1.tmp, 2.tmp, ... ), в автозагрузку добавился файл ntos.exe

Помогите, пожалуйста, справиться.
20.08.2007, 18:18
drongo

1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
[/code]
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\stmctrl.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll','');
QuarantineFile('C:\DOCUME~1\05EE~1\LOCALS~1\Temp\CmdLineExt02.dll','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11830[/url]

P.S.Вообще-то не понятно чему вы удивляетесь ;)Я не удивляюсь ;)Попробуйте наконец то что я советую многим, должно помочь ;):
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)

P.P.S.фаервол от винды слишком слаб, желательно в боевых условиях пользоваться более мощными средствами. Попробуйте хотя-бы бесплатный comodo , у меня он не задержался на компе, может у вас задержится ;)
20.08.2007, 18:34
favarit

Карантин отправил.

Я в общем-то не удивляюсь, просто год жил без проблем с Вэбом... А тут вроде ничего подозрительного или потенциально опасного не открывал и сватил вирус.
Кстати, после удаления ntos.exe симптомы прошли.
И что делать с файлами в корне диска (2.tmp, ...)?

p.s. Я забыл при получении логов оставить запущенным IE. Может стоит ещё раз логи повторить.

p.p.s. На тех нескольких ресурсах, где у меня стоял автологин, сейчас я разлогинен. Стоит, наверное, поменять пароли?
20.08.2007, 18:47
drongo

Повторить можно, насчёт темпов, парочку запаковать в zip с паролем virus и тоже послать ;)
drweb тут не поможет, когда он его не знает ;)Можете им послать тоже.А вот то что я написал:
[code]1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)[/code], поможет с любым антивирусом и даже без него ;)
20.08.2007, 18:57
favarit

Архив с темпами отправил.
Сейчас сделаю новые логи, посмотрите их, пожалуйста.
20.08.2007, 19:56
favarit

Вложений: 3

Вот новые логи. Посмотрите, не осталось ли чего.

А можно немного подробнее про "1) Работать за компьютером с правами ограниченного пользователя."
20.08.2007, 21:36
drongo

подробнее : [url]http://virusinfo.info/showpost.php?p=96895&postcount=1[/url]
20.08.2007, 21:45
favarit

[B]drongo[/B], посмотрите последние логи, плиз. А то вдруг осталось что.
20.08.2007, 22:14
drongo

[quote=favarit;128703][B]drongo[/B], посмотрите последние логи, плиз. А то вдруг осталось что.[/quote]
Больше ничего интересного, желательно отключить лишние сервисы виндоуса- только пойдёт на пользу : и дырок меньше и машинка чуть быстрее будет бегать.
например вот эти смело остановить:
[code]
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe[/code]
20.08.2007, 22:19
favarit

[B]drongo[/B], спасибо большое за помощь и советы.
22.02.2009, 02:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.2003)[*] \\virus\\2 (1).#mp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.2003)[*] \\virus\\2.#mp - [B]Trojan-Spy.Win32.Zbot.adj[/B] (DrWEB: Trojan.Proxy.2003)[/LIST][/LIST]