Win32:Trojan-gen

Printable View

09.11.2009, 01:07
nurania

Win32:Trojan-gen

Не могу удалить Win32:Trojan-gen.
У меня стоит антивирус AVAST. Он видит вирус, а именно:
C:\Documents and Settings\All Users\Application Data\msuwarn\trz4AA.tmp ( до того как я его пыталась удалить назывался sdata.dill
но так же в данной паке есть файл: mhorest.exe
Еще показывает что-то наподобие: TEMPволнистая черта1...
Думаю mhorest тоже вирус. Что мне делать? :cray:Я не программист? Подскажите по шагово как вылечить компьютер? (Например, открыть то-то, нажать то-то):?
09.11.2009, 01:17
Никита Соловьев

[B][url=http://virusinfo.info/showthread.php?t=1235]Читайте[/url][/B] и выполняйте, все понятно и доступно
09.11.2009, 21:52
nurania

В правилах в главе После загрузки инструментов: 6.
Если у вас антивирус от фирмы McAfee- необходимо полностью его деинсталировать до запуска AVZ.
У меня установлен AVAST. Его надо удалить? Или можно просто остановить, как-нибудь на время, его работу?
09.11.2009, 21:57
Никита Соловьев

[QUOTE]Если у вас антивирус от фирмы McAfee[/QUOTE]У Вас не McAfee, значит можно просто остановить
09.11.2009, 23:32
nurania

AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log
09.11.2009, 23:39
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\documents and settings\all users\application data\msuwarn\mhorest.exe');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\msuwarn\sdata.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\msuwarn\mhorest.exe','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\msuwarn\mhorest.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\msuwarn\sdata.dll');
DeleteFileMask('C:\Documents and Settings\All Users\Application Data\msuwarn','*.*',true);
DeleteDirectory('C:\Documents and Settings\All Users\Application Data\msuwarn');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msuwarn');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится

Файл quarantine.zip закачайте по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B] вверху темы

Повторите пункт диагностика правил и прикрепите новые логи
10.11.2009, 00:27
nurania

Вложений: 2

Новые LOG
10.11.2009, 00:38
thyrex

Ничего подозрительного. Проблема решена?
10.11.2009, 18:27
nurania

Нет. Опять вышел данный вирус плюс появился новый.
Включила восстановление может поэтому?
Присылаю новые LOGи
10.11.2009, 20:00
pig

И где логи-то?
Обновления безопасности на Windows все стоят?
10.11.2009, 22:20
nurania

Как это обновление безопасности? То есть как проверить включены или нет?
И еще новый вирус показывал C:\DOCUME~1\1\LOCALS~1\Temp\msuwarn.exe
Вирусы по типу другие
10.11.2009, 22:26
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\docume~1\1\locals~1\temp\msuwarn.exe');
TerminateProcessByName('c:\documents and settings\all users\application data\msuwarn\mhorest.exe');
QuarantineFile('c:\documents and settings\all users\application data\msuwarn\mhorest.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\msuwarn.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\msuwarn\sdata.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\msuwarn\mhorest.exe','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\msuwarn\mhorest.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\msuwarn\sdata.dll');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\msuwarn.exe');
DeleteFile('c:\documents and settings\all users\application data\msuwarn\mhorest.exe');
DeleteFileMask('%Tmp%','*.*',true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msuwarn');
BC_ImportDeletedList;
ExecuteSysClean;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится
Файл [B]quarantine.zip[/B] закачайте по ссылке [U]прислать запрошенный карантин[/U]

Сделайте новые логи + такой лог: [url]http://virusinfo.info/showthread.php?t=53070[/url]
12.11.2009, 20:45
nurania

Новые LOGи, Mbag показывает 4 зараженных, из них один наС:\\ другие не понятно где. Может быть удалить все загруженные для лечения программы?
12.11.2009, 21:02
Никита Соловьев

Чисто. Проблема решена?
14.11.2009, 20:28
nurania

Да
15.11.2009, 20:28
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\application data\msuwarn\mhorest.exe - [B]Trojan-PSW.Win32.Agent.oet[/B] ( DrWEB: Trojan.MulDrop.35860, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\documents and settings\all users\application data\msuwarn\sdata.dll - [B]Worm.Win32.AutoRun.gxa[/B] ( DrWEB: Trojan.PWS.LDPinch.4567, BitDefender: Gen:Trojan.Heur.GM.4400524000, AVAST4: Win32:Trojan-gen )[*] c:\docume~1\1\locals~1\temp\msuwarn.exe - [B]Trojan-PSW.Win32.LdPinch.aldy[/B] ( DrWEB: Trojan.PWS.LDPinch.3548, BitDefender: Trojan.PWS.LdPinch.TMK, AVAST4: Win32:Malware-gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]