Foto троян или 25 гривен

Printable View

04.06.2008, 10:02
morozov1977

Вложений: 3

Foto троян или 25 гривен

всем привет
открыл вчера троян, который просит 25 гривен или 10 WMZ - вроде тут знают что это такое..
прилагаю логи, подскажите что делать
заранее благодарен
04.06.2008, 10:33
Rene-gad

AVZ
[QUOTE]Внимание !!! База поcледний раз обновлялась [B]23.04.2008[/B] необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]
HiJackthis
[QUOTE]Logfile of HijackThis [B]v1.99.1[/B][/QUOTE]Пожалуйста повторите логи, обновив базы АВЗ и скачав последнюю версию Хайджека.
Читайте правила, там и ссылки имеются.
04.06.2008, 10:56
morozov1977

Вложений: 2

Меню в АВЗ не активное

хайджек обновил и прилагаю новый лог
а вот менюшка по обновлению АВЗ у меня не активная - прилагаю принтскрин
04.06.2008, 11:38
Rene-gad

[QUOTE=morozov1977;236054]менюшка по обновлению АВЗ у меня не активная - прилагаю принтскрин[/QUOTE]Скачайте [URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]отсюда[/URL] и распакуйте в папку BASE
04.06.2008, 12:05
morozov1977

видимо троян мне уже что-то испортил - извлечи файлы из архива не получается - сбоит
и в эксплоурере стал в шапке окна писать матом... :(
может попробуете по старой версии AVZ что-нибудь прописать? :O
04.06.2008, 12:10
Alex_Goodwin

Скачайте вот этот авз. базы не обновляйте. Сделайте им логи по правилам. [url]http://rapidshare.com/files/116950728/IEXPLORE.EXE.html[/url]
04.06.2008, 20:41
morozov1977

Вложений: 2

сделал новые логи

посмотрите вот на это:
04.06.2008, 20:43
morozov1977

да, новый хайджек выше, но прилагаю еще раз

, но прилагаю еще раз

.... странно, что-то не прилагается больше... :(
04.06.2008, 20:47
V_Bond

АВЗ -Мастер поиска и устранения проблем выбрать все -устранить ...
выполните скрипт ...
[code]
begin
QuarantineFile('C:\Program Files\Informatic\Context 6.0\CWHOOK32.dll','');
QuarantineFile('C:\Documents and Settings\AMorozov\Application Data\rambler.ru\toolbar\mail.mp3','');
QuarantineFile('C:\Documents and Settings\AMorozov\Local Settings\Temp\rl2mn1xl.exe','');
QuarantineFile('C:\WINDOWS\WinSxS\Manifests\explorer.exe','');
QuarantineFile('C:\WINDOWS\Provisioning\Schemas\lsass.exe','');
QuarantineFile('C:\WINDOWS\Installer\{6DC47739-3BB0-4494-A43D-193BF54070AE}\Icon3E5562ED7.ico','');
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
04.06.2008, 21:00
morozov1977

прислал....

только не знаю куда он попал....:O

надо еще раз загружать?
04.06.2008, 21:22
V_Bond

C:\Documents and Settings\AMorozov\Local Settings\Temp\rl2mn1xl.exe Trojan.Win32.Krotten.gl
C:\WINDOWS\Provisioning\Schemas\lsass.exe Trojan.Win32.Krotten.gl
C:\WINDOWS\WinSxS\Manifests\explorer.exe Trojan.Win32.Krotten.gl
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\AMorozov\Local Settings\Temp\rl2mn1xl.exe ');
DeleteFile('C:\WINDOWS\Provisioning\Schemas\lsass.exe');
DeleteFile('C:\WINDOWS\WinSxS\Manifests\explorer.exe ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ....
04.06.2008, 21:56
morozov1977

блин, при работе АВЗ комп перезагрузился и с рабочего стола вообще все ищезло... вместо часов теперь написано матом... :(
что за 3 ссылки вы написали сверху я не знаю...
что делать-то?
04.06.2008, 21:59
V_Bond

[QUOTE=morozov1977;236433]
что делать-то?[/QUOTE]
логи делать ..... как вас и просили ...
зверька добъм и все поправим ...
04.06.2008, 22:04
morozov1977

так у мня теперь авз не запускается - блокировка всплывающих окон.... :(

хотя нет. запустил...
04.06.2008, 22:50
morozov1977

Вложений: 2

вот новые логи

после перезагрузки
04.06.2008, 22:58
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\?i??o?s Desкtор S??r?h.lnk','');
QuarantineFile('C:\Documents and Settings\AMorozov\Рабочий стол\IEXPLORE.EXE','');
DeleteFile('C:\Documents and Settings\AMorozov\Рабочий стол\IEXPLORE.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите virusinfo_syscheck.zip
07.06.2008, 12:33
Alex_Goodwin

Ответ лаба:
[QUOTE]A0054484.exe_ - Trojan.Win32.Krotten.gl
Для того, чтобы избавиться от результатов работы этого трояна Вам необходимо загрузить бесплатную утилиту для лечения Trojan.Win32.Krotten с адреса
[url]http://www.kaspersky.ru/removaltools[/url] и запустить её. Если это не поможет, то в следующее обновление утилиты будет включено лечение для Вашей версии трояна.[/QUOTE]
22.02.2009, 05:44
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\amorozov\\local settings\\temp\\rl2mn1xl.exe - [B]Trojan-Ransom.Win32.Krotten.gl[/B] (DrWEB: Trojan.Plastix.113)[*] c:\\system volume information\\_restore{f5e1510d-731d-4fa3-a3f4-8f7c79ae8d32}\\rp414\\a0054484.exe - [B]Trojan-Ransom.Win32.Krotten.gl[/B] (DrWEB: Trojan.Plastix.113)[*] c:\\windows\\provisioning\\schemas\\lsass.exe - [B]Trojan-Ransom.Win32.Krotten.gl[/B] (DrWEB: Trojan.Plastix.113)[*] c:\\windows\\winsxs\\manifests\\explorer.exe - [B]Trojan-Ransom.Win32.Krotten.gl[/B] (DrWEB: Trojan.Plastix.113)[/LIST][/LIST]