-
Trojan.PWS.Ibank.
Здравствуйте,
- Нет доступа ко всем сайтам антивирусной тематики (даже virustotal.com, незнаю из за этого или нет..)
CureIt выявил 39 вирусов в папке windows/system32/...
Название у файлов было набор разных букв типа DvuWn.exe,UVbqyC.exe и т.д. (все удалил)
Найденные вирусы:
Какой то packed
Trojan.PWS.Ibank.38
Trojan.PWS.Ibank.39
Выполнил требуемые правилами скрипты в AVZ, логи прилагаю.
Когда собирал информацию, аваст поругался на
F:\DOCUME~1\C4C5~1\LOCALS~1\Temp\avz_2736_1.tmp, скаваз мол это malware.
-
[QUOTE]Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
[/QUOTE]
Обновите базы и переделайте логи.
[QUOTE] Trojan.PWS.Ibank.38 [/QUOTE]
Пароли неплохо бы поменять.
-
-
В HiJackThis пофиксите:
[code]
F2 - REG:system.ini: Shell=explorer.exe,
F2 - REG:system.ini: UserInit=f:\windows\system32\userinit.exe,userinit.exe,\\?\globalroot\systemroot\system32\ygtpthw.exe,
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCman000
[/code]
В AVZ выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DelBHO('{855F3B16-6D32-4fe6-8A56-BBB695989046}');
DelBHO('{00A6FAF6-072E-44cf-8957-5838F569A31D}');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('F:\DOCUME~1\F185~1\LOCALS~1\Temp\Rar$EX00.422\Bootrace.exe','');
QuarantineFile('F:\WINDOWS\system32\DRIVERS\cv2k1.sys','');
QuarantineFile('F:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('F:\WINDOWS\system32\ygtpthw.exe','');
QuarantineFile('F:\WINDOWS\system32\userini.exe','');
DeleteFile('F:\WINDOWS\system32\ygtpthw.exe');
DeleteFile('F:\WINDOWS\system32\userini.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(16);
ExecuteRepair(8);
ExecuteRepair(20);
ExecuteWizard('TSW',2,2,true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите.
-
В HiJackThis пофиксил.
В AVZ скрипт выполнил, правда после выполнения, у компьютера осталась картинка на рабочем столе без explorer.exe, т.е. ни пуска, ни ярлыков не было. Подождал 5 мин. и перезагрузил нажатием на кнопку перезагрузки.
Картантин прислал.
его хеш - d59f69c26e75efe1bea93de82f628083
На сайты антивирусной тематики заходит отлично.
При повторении сбора логов опять аваст сказал, что
F:\DOCUME~1\C4C5~1\LOCALS~1\Temp\avz_2004_1.tmp это malware.
миднайт, большое Вам спасибо. Очень хорошо, что в просторах интернета существуют такие форумы, как этот.
-
В HiJackThis пофиксите:
[CODE]R3 - URLSearchHook: (no name) - - (no file)[/CODE]
Очистите временные файлы F:\DOCUME~1\C4C5~1\LOCALS~1\Temp,
обновите Internet Explorer, Java. Смените все пароли. Проблемы сейчас наблюдаются?
-
Все нужное сделал, проблем не наблюдается.
Спасибо.
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Page generated in 0.01447 seconds with 10 queries