Живучий троян

Printable View

11.12.2006, 14:34
ScratchyClaws

Вложений: 3

Живучий троян

При загрузке компа вылетает окошко Доктора Веба о заражении Trojan.PWS.Lineage (если я не ошибаюсь, так как в логах Веба за сегодняшнее число ни одного трояна почему-то нету), файл предлагается вылечить, окошко появляется опять минут через 20, или при следующей загрузке. Пробовали проверять систему Вебом, и АВЗ с новыми базами, много всяких бякостей удалили, но с этим поделать ничего не можем.
Что посоветуете?
11.12.2006, 14:46
Geser

[CODE]begin
QuarantineFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL','');
QuarantineFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL','');
QuarantineFile('C:\WINDOWS\System32\update\Update.exe','');
QuarantineFile('C:\WINDOWS\Intel\rundll32.exe','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe','');
QuarantineFile('C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE','');
QuarantineFile('C:\PROGRA~1\BEACHI~1\BI1HEL~1.EXE','');
QuarantineFile('C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE','');
QuarantineFile('C:\Documents and Settings\User\Application Data\GetMP3[1].exe t','');
QuarantineFile('235780M.BMP','');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL');
end.[/CODE]

Содержимое карантина прислать. Если 235780M.BMP не попадёт в карантин - поискать его по всему системному диску.
11.12.2006, 15:18
ScratchyClaws

235780M.BMP в карантин не попал, через поиск его найти тоже не удаётся.
Правда через поиск *235780* удалось найти логи Hijack и AVZ в которых этот файл упоминается. Так же по этому же поиску нашлись 2 файла карантина АВЗ, я их на всякий случай пришлю, может файл туда все-таки попал
И вообще впечатление что из всего скрипта выполнились только 2 последние строчки...
11.12.2006, 15:28
Geser

[QUOTE=CePguTKa;87276]235780M.BMP в карантин не попал, через поиск его найти тоже не удаётся.[/QUOTE]

Ну нет так нет. А другие файлы попали в карантин?
11.12.2006, 16:05
ScratchyClaws

ИМХО нет,
собственно загружаю всё что авз показал при просмотре карантина -
Результат загрузки
Файл сохранён как 061211_080243_virus_457d56f348d2b.zip
Размер файла 11927
MD5 95e4f461c8e90132d6f90a1cdb4d282d

Могу ещё файлы АВЗ из папок Infected и Quarantine послать, так как при ближайшем рассмотрении там явно больше файлов...

P.S. - пока проблема с предупреждением о вирусе остается. Заодно записала точное сообщение -
[B]c://windows/system32/dllt.dll заражён Trojan.PWS.Lineage[/B]

P.P.S. - ушла танцевать с шаманским бубном
11.12.2006, 16:21
Geser

Эта папка если есть, удалить C:\Program Files\MyWebSearch
Эти файлы еще поискать вручную
C:\WINDOWS\System32\update\Update.exe
C:\WINDOWS\Intel\rundll32.exe
11.12.2006, 16:32
ScratchyClaws

АВЗ начал искать, но тут выступил DR Web с сообщением что он нашел вирус, доктора закрыли, а вот файлов на месте уже не оказалось.
Собственно в папке update лежат exe'шники 5, 6, 7
а папки Intel в папке Windows нету
11.12.2006, 18:29
Shu_b

Пофиксено?
[CODE]O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitialSetup1.0.0.8.cab[/CODE]
[QUOTE]P.P.S. - ушла танцевать с шаманским бубном[/QUOTE]
Новые логи после танцев...
12.12.2006, 10:28
ScratchyClaws

[QUOTE=Shu_b;87314]Пофиксено?
[CODE]O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitialSetup1.0.0.8.cab[/CODE]

[/QUOTE]

Пофиксено.

Веб переставлять пока не стала... скачала CureIt! проверяю... уже прибил C://windows/intel/rundll32.exe (которую вчера не удалось найти)
Сейчас проверку закончу - скину новые логи

11:18 - CureIt! систему проверил... Энное количество заразы прибил... Пока прикладываю его отчет. Остальные логи в обеденный перерыв сделаю - так как условия полевые - за компом девушка работает... -
[QUOTE]
rundll32.exe c:\windows\intel Trojan.PWS.Lineage Удален.
A0092410.sys C:\System Volume Information\_restore{1042C7B5-6D77-477B-A891-673C54D874E0}\RP706 Trojan.Duxtel Удален.
A0093410.sys C:\System Volume Information\_restore{1042C7B5-6D77-477B-A891-673C54D874E0}\RP706 Trojan.Duxtel Удален.
A0093412.dll C:\System Volume Information\_restore{1042C7B5-6D77-477B-A891-673C54D874E0}\RP712 Trojan.PWS.Lineage Удален.
A0093464.dll C:\System Volume Information\_restore{1042C7B5-6D77-477B-A891-673C54D874E0}\RP712 Trojan.PWS.Lineage Удален.
A0093575.exe C:\System Volume Information\_restore{1042C7B5-6D77-477B-A891-673C54D874E0}\RP715 Trojan.PWS.Lineage Удален.
8.exe C:\WINDOWS\SYSTEM32 Trojan.DownLoader.15686 Удален.
CelInDriver.sys C:\WINDOWS\SYSTEM32\DRIVERS Trojan.Duxtel Удален.
6.exe C:\WINDOWS\SYSTEM32\update Trojan.PWS.Wow Удален.
7.exe C:\WINDOWS\SYSTEM32\update Trojan.Duxtel Удален.
[/QUOTE]

P.S. - Да!!! Я плохая!!! Но файлы отчета Веба в сообщение не вкладываются...
P.P.S. - Сообщения о трояне выскакивают как и раньше...