Здравствуйте, прошу в помощи по отлову заразы, которая украла у меня Web Money кошелек. Проверка AVZ выявила кейлогер notepad.exe. Пользуюсь NOD32.
Printable View
Здравствуйте, прошу в помощи по отлову заразы, которая украла у меня Web Money кошелек. Проверка AVZ выявила кейлогер notepad.exe. Пользуюсь NOD32.
1. Пожалуйста, выполните скрипт AVZ:
[CODE]
begin
SearchRootkit(true, true);
QuarantineFile('logon.scr', 'CHQ=N');
QuarantineFile('SDEvents.dll', 'CHQ=N');
QuarantineFile('C:\Temp\D5geUgzz.sys', 'CHQ=S');
QuarantineFile('c:\temp\rarsfx0\72pcaxp.exe', 'CHQ=N');
QuarantineFile('wininet.dll', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\86f1fafb.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\clipsrv.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\msdtc.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\ntkrnlpa.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\PrintFilterPipelineSvc.exe', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll', 'CHQ=S');
QuarantineFile('c:\windows\system32\users32.exe', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\wiadefui.dll', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\wuauclt.exe', 'CHQ=S');
QuarantineFile('e:\asuite.exe', 'CHQ=N');
QuarantineFile('E:\libmng.dll', 'CHQ=N');
QuarantineFile('C:\Program Files\Mediafour\MacDrive 7\M4TaskDialog.dll', 'CHQ=G');
QuarantineFile('c:\program files\mediafour\macdrive 7\macdrive.exe', 'CHQ=G');
QuarantineFile('c:\program files\mediafour\macdrive 7\macdriveservice.exe', 'CHQ=G');
QuarantineFile('C:\Program Files\Mediafour\MacDrive 7\MDGetStarted.exe', 'CHQ=G');
QuarantineFile('C:\Program Files\Mediafour\MacDrive 7\MDOptions.dll', 'CHQ=G');
QuarantineFile('C:\Program Files\Common Files\Mediafour\1033\MACFPROP.DL_', 'CHQ=G');
QuarantineFile('C:\Program Files\Common Files\Mediafour\M4LIC.DLL', 'CHQ=G');
QuarantineFile('C:\Program Files\Common Files\Mediafour\MACFPROP.DLL', 'CHQ=G');
BC_QrFile('C:\Temp\D5geUgzz.sys');
BC_QrFile('C:\WINDOWS\system32\86f1fafb.exe');
BC_QrFile('C:\WINDOWS\system32\ntkrnlpa.exe');
BC_QrFile('C:\WINDOWS\System32\PrintFilterPipelineSvc.exe');
BC_QrFile('C:\WINDOWS\system32\sfcfiles.dll');
BC_QrFile('c:\windows\system32\users32.exe');
BC_QrFile('C:\WINDOWS\system32\wuauclt.exe');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
В ходе выполнения скрипта компьютер перезагрузится.
2. Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить [URL]http://virusinfo.info/index.php?page=uploadclean[/URL]
Скрипт выполнен карантин выслан
c:\windows\system32\users32.exe - DrWEB : Подозрение DLOADER.Trojan;
Странно то, что в логе виден запущенный CureIt и скорее всего файл users32.exe был удален, но попал на следущий день в карантин.
Вывод: защита на компьютере - решето.
Установите [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] для Windows ХР (может потребоваться активация).
Установите обновления безопасности на Windows.
Выполните в AVZ скрипт [url=http://df.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Сделайте новые логи и приложите к этой теме.
Теперь DrWEB определяет файл c:\windows\system32\users32.exe как Program.MoneyLand. Вы такую программу устанавливали?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]78[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]