Trojan.Winlock.302

Printable View

13.10.2009, 19:12
bustergood

Trojan.Winlock.302

Здраствуйте! Троянчик у меня, смс хочет. КьюрИт в безопасном режиме удаляет файлики WINDOWS\ctfmon.exe и из папки Temp много. Затем все загружается норм. При открытии Оперы вылезает окошко снова. То же самое при подключении инета.

Очень надеюсь на вашу помощь!

[ATTACH]168788[/ATTACH]
[ATTACH]168789[/ATTACH]
[ATTACH]168794[/ATTACH]
13.10.2009, 19:25
Aleksandra

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\DOCUME~1\Belik\LOCALS~1\Temp\b.exe','');
DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}');
QuarantineFile('C:\WINDOWS\system32\msxml71.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0040142622-1264353265-494956030-4071\mwau.exe','');
QuarantineFile('c:\windows\windows7addon.exe','');
TerminateProcessByName('c:\windows\windows7addon.exe');
QuarantineFile('c:\docume~1\belik\locals~1\temp\311.exe','');
TerminateProcessByName('c:\docume~1\belik\locals~1\temp\311.exe');
DeleteFile('c:\docume~1\belik\locals~1\temp\311.exe');
DeleteFile('c:\windows\windows7addon.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0040142622-1264353265-494956030-4071\mwau.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\msxml71.dll');
DeleteFile('C:\DOCUME~1\Belik\LOCALS~1\Temp\b.exe');
DeleteFile('C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
DeleteFile('{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
DeleteFile('H:\autorun.inf');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=57109[/url]

3. Повторите логи.
13.10.2009, 20:29
bustergood

Сделал. При выполнении скрипта номер 2 (сбор информации) подключил интернет (как написано в инструкции). Вылазит троян, гад.

Логи:
[ATTACH]168811[/ATTACH]

[ATTACH]168812[/ATTACH]

[ATTACH]168813[/ATTACH]

Архив загрузил по ссылке.
13.10.2009, 20:34
Aleksandra

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\windows7addon.exe');
DeleteFile('c:\windows\windows7addon.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1657718840-5570372388-833774190-4896\mwau.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Повторите лог [B]virusinfo_syscheck.[/B]
13.10.2009, 20:58
bustergood

Ура! Опера и инет работают, троян не вылазит! Спасибо огромное!!!
[ATTACH]168816[/ATTACH]

Если будут потом проблемы с ним же, создавать новую тему или отвечать в эту?
13.10.2009, 21:18
Aleksandra

Ничего зловредного в логах нет.

[QUOTE=bustergood;485606]Если будут потом проблемы с ним же, создавать новую тему или отвечать в эту?[/QUOTE]
Не должны быть. :)
14.10.2009, 21:18
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\belik\locals~1\temp\235.exe - [B]Trojan-Ransom.Win32.SMSer.oc[/B] ( DrWEB: Trojan.Winlock.325, NOD32: Win32/LockScreen.BU trojan, AVAST4: Win32:Malware-gen )[*] c:\docume~1\belik\locals~1\temp\311.exe - [B]Backdoor.Win32.IRCBot.mps[/B] ( DrWEB: BackDoor.IRC.Sdbot.5343, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0040142622-1264353265-494956030-4071\mwau.exe - [B]P2P-Worm.Win32.Palevo.jyf[/B] ( DrWEB: Win32.HLLW.Lime.18 )[*] c:\windows\ctfmon.exe - [B]Trojan-Ransom.Win32.SMSer.oc[/B] ( DrWEB: Trojan.Winlock.325, NOD32: Win32/LockScreen.BU trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\msxml71.dll - [B]Trojan.Win32.FraudPack.ufw[/B] ( DrWEB: Trojan.Fakealert.5507, BitDefender: Trojan.Generic.2472200, NOD32: Win32/TrojanDownloader.FakeAlert.AIM trojan, AVAST4: Win32:FakeAV-RP [Trj] )[*] c:\windows\windows7addon.exe - [B]Packed.Win32.Krap.af[/B] ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Application.Generic.248698, AVAST4: Win32:MalOb-U [Cryp] )[*] c:\windows\windows7addon.exe - [B]Backdoor.Win32.IRCBot.mps[/B] ( DrWEB: BackDoor.IRC.Sdbot.5343, AVAST4: Win32:Malware-gen )[/LIST][/LIST]