Подозрение на троян Webmoney

Сегодня был заблокирован мой WMID по подозрению в перехвате трояном. Первым пунктом для разблокировки была тотальная проверка, в т.ч. ссылка на вирусинфо, если ничего не было найдено обычной проверкой антивируса.

Собирая данные для темы столкнулся с одной особенностью:
CureIt в безопасном режиме трижды зависал (или не зависал, но дальше не проверял, времени давал до 4 часов) на файле system32/drivers/wmilib.sys

в остальном всё как обычно. очень хочется увидеть комментарий команды вирусинфо. спасибо.

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
DelCLSID('{5BBC6008-1D85-4C11-43AA-0F09350700ED}');
QuarantineFile('C:\SysFiles\aYC7ZCTMBQdt.dll','');
DeleteFile('C:\SysFiles\aYC7ZCTMBQdt.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b]Прислать запрошенный карантин[/b][/color], вверху этой темы.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

сделал. прикрепляю новый сбор инфы.
всё-таки троян был?

C:\SysFiles\aYC7ZCTMBQdt.dll - [B]Trojan-Ransom.Win32.Hexzone.ali[/B] ([B]Trojan.BrowseBan.252[/B]) судя по названию, это банер в браузере, который мешает просматривать сайты.
Думаю, это не причина блокировки WMID.
А тот троян, что был причиной, наверное, самоудалился. Сейчас в логе чисто, но не на долго. Безопасность компьютера хромает на обе ноги. Можете сами убедиться, выполнив в AVZ скрипт из файла [url=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url].

[QUOTE='Yury_md;630807']CureIt в безопасном режиме трижды зависал (или не зависал, но дальше не проверял, времени давал до 4 часов) на файле system32/drivers/wmilib.sys[/QUOTE]Советую перепровериться с промощью этого диска: [url]http://www.freedrweb.com/livecd[/url]

спасибо вам! получил результаты скрипта, 6 критических уязвимостей, буду править.
буду рад ссылочке на талмуд по безопасности, который вы бы порекомендовали) может хоть частично сделаю

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=AndreyKa;630946]Советую перепровериться с промощью этого диска: [URL]http://www.freedrweb.com/livecd[/URL][/QUOTE]
тоже в безопасном режиме?

Рекомендации после лечения или 10 заповедей для здоровья компьютера - [url]http://virusinfo.info/showthread.php?t=30339[/url]
[QUOTE='Yury_md;630948']тоже в безопасном режиме? [/QUOTE]Нет, загрузив компьютер с этого диска.

спасибо за помощь! что в итоге: сделал всё что АВЗ советовал, теперь:

[I]Поиск критических уязвимостей
Часто используемые уязвимости не обнаружены[/I]

Dr.web live CD и мышки с клавиатурой , которые не работают это отдельная история...
но проверял он систему 7 часов и сделал это процентов на 20. так что я остановил, больше ждать не мог.

бдительность и так всегда на уровне, так что буду писать в арбитраж WM.
как разлочат, смогу помочь проекту))

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\sysfiles\ayc7zctmbqdt.dll - [B]Trojan-Ransom.Win32.Hexzone.ali[/B] ( DrWEB: Trojan.BrowseBan.252, NOD32: Win32/Agent.QLN trojan )[/LIST][/LIST]