Trojan-PSW.Win32.Kates.c

Printable View

28.05.2009, 11:54
fpk

Вложений: 3

Trojan-PSW.Win32.Kates.c

логи прилагаются...
28.05.2009, 12:06
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlDLHOL4llpc4xS.exe','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winal61.sys','');
DeleteService('winqx85');
DeleteService('winls42');
DeleteService('Winal61');
BC_DeleteSvc('winqx85');
BC_DeleteSvc('winls42');
BC_DeleteSvc('Winal61');

QuarantineFile('C:\WINDOWS\system32\drivers\nlqgkm.sys','');
BC_DeleteSvc('abp470n5');
BC_DeleteSvc('upsdhcp');
BC_DeleteSvc('DcomLaunchVSS');
DeleteFile('C:\WINDOWS\system32\drivers\nlqgkm.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winal61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqx85.sys');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlDLHOL4llpc4xS.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи, скачав AVZ из моей подписи, после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=46689[/url]
28.05.2009, 13:11
fpk

Вложений: 3

спасибо за оперативность, высылаю логи и карантин.
28.05.2009, 13:16
PavelA

Выполнить скрипт:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\..\rjp.meo','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\..\rjp.meo');
BC_ImportAll;
ExecuteRepair(17);
ExecuteRepair(11);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=46869[/url]

Могли уйти на сторону пароли, так что рекомендуется их сменить.
28.05.2009, 13:49
fpk

Вложений: 3

Большое спасибо за помощь!
28.05.2009, 14:45
PavelA

Профиксить:
[CODE]
O22 - SharedTaskScheduler: uj38ehfh7efefefds98jkefn - {C5AF49A2-94F3-42BD-F434-3604812C897D} - (no file)
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)[/CODE]

А/вирус желательно обновить на новую версию.
29.05.2009, 14:45
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]