помогите....
сегодня нод32 начал выдавать что заблокирован модифицированный win32/Nuwar с адреса http://ps-banking.cn/x.exe . Искал в компе, никак не найду где он..
Printable View
помогите....
сегодня нод32 начал выдавать что заблокирован модифицированный win32/Nuwar с адреса http://ps-banking.cn/x.exe . Искал в компе, никак не найду где он..
Деактивируйте пожалуйста ссылку в своем сообщении.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\gdrv.sys','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
DeleteFile('C:\System Volume Information\_restore{98F492D8-7881-430A-8C87-900093689659}\RP22\A0011110.exe');
ClearHostsFile;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]
Файл сохранён как 090416_165716_virus_49e72b2c38965.zip
Размер файла 638909
MD5 2df4e2a31613d4ff2d65d97521267c94
когда выполнялся скрипт, успелувидеть что невозможно было поместить файл sdra64.exe в карантин
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
ClearHostsFile;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по красной ссылке вверху этой темы [B][COLOR="Red"]"Прислать запрошенный карантин"[/COLOR][/B]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,[/CODE]
3. Повторите логи
Он все-же попал в карантин: DrWEB 5.0= Trojan.PWS.Panda.114
Т.е. ворует пароли. После лечения очень рекомендуется сменить пароли
код в AVZ выполнил, комп перезагрузился..
пофиксить в HijackThis не получилось, так как такой строчки почему-то уже не было...
То, что строчки не было - хорошо, значит удаление прошло.
На первый взгляд чисто, но подождем вердикт по остальным файлам.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.sdf[/B] ( DrWEB: Trojan.PWS.Panda.114 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]