Заражение LDPinch.

Printable View

13.03.2008, 22:44
Keo

Вложений: 3

Заражение LDPinch.

Комп стал вести себя не очень хорошо. При проверке Cureit выяснилось что заражен LDPinch-ем. Cureit их вычистил. Что еще нужно исправить что бы вычистить все хвосты. И какой антивирус лучше использовать? Сейчас стоит Symantec 10.1 и + снаружи закрыты порты ненужные на шлюзе. Но судя по всему все равно вирусы проходят. Может имеет смысл на прокси повесить антивирус сканирующий трафик?
13.03.2008, 22:48
wise-wistful

Пароли надеюсь все сменили.
13.03.2008, 22:54
V_Bond

C:\WINDOWS\system32\userinit.exe - пришлите на всякий случай .... согласно приложения 3 правил ...
13.03.2008, 23:11
Keo

Выслал. При поиске этого файла обнаружилось два файла один в dllcache. У того который находится в dllcache дата модификации 17.08.2004 а у другого 12.03.2008. Выслал который 12.03.08
13.03.2008, 23:22
V_Bond

C:\WINDOWS\system32\userinit.exe - [B]DR/Delphi.Gen[/B] нужно заменить на чистый из дистрибутива ...
13.03.2008, 23:26
Keo

Тот который находится в dllcache подойдет? И взять просто заменить? процесс какой нибудь перед этим прерывать не надо?

Заменил. После перезагрузки появился файл userini.exe c датой модификации 12.03.2008...
13.03.2008, 23:41
V_Bond

замену нужно производить из косоли восстановления или с загрузочного диска ...
в dllcache должен быть чистый ....
13.03.2008, 23:50
Keo

А можно еще один файл прислать? что то мне он кажется подозрительным.
13.03.2008, 23:53
V_Bond

присылайте ....
13.03.2008, 23:54
Keo

Выслал
14.03.2008, 00:01
V_Bond

C:\WINDOWS\system32\vhosts.exe [B]DR/Delphi.Gen[/B]
зверь похоже не активен .... но лучше удалим скриптом
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\vhosts.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
virusinfo_syscheck.zip сделайте ....
14.03.2008, 07:12
Keo

Вложений: 1

Прикрепил.
14.03.2008, 09:18
V_Bond

выполните скрипт ...
[code]
begin
QuarantineFile('C:\WINDOWS\PSEXESVC.EXE','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
14.03.2008, 22:24
Keo

Я этим файлом пользуюсь. Это файл из PsTools. В принципе вроде жалоб нет больше. Спасибо большое.
22.02.2009, 04:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\userinit.exe - [B]Worm.Win32.Gadja.ar[/B] (DrWEB: Trojan.DownLoader.46299)[*] c:\\windows\\system32\\vhosts.exe - [B]Worm.Win32.Gadja.ar[/B] (DrWEB: Trojan.MulDrop.14013)[/LIST][/LIST]