Знакомая словила троян, через некоторое время банер пропал сам, не даёт заходить на ваш сайт, дрвеб, каспера.
куритом прогнал, логи прикреплены.
Printable View
Знакомая словила троян, через некоторое время банер пропал сам, не даёт заходить на ваш сайт, дрвеб, каспера.
куритом прогнал, логи прикреплены.
Отключить восстановление системы, защитное ПО.
Профиксить:
[CODE]
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\bknifku.exe,
[/CODE]
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\bknifku.exe','');
QuarantineFile('C:\Documents and Settings\123\Рабочий стол\wpepro09x(3).zip','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\10_155_29.bat','');
QuarantineFile('C:\WINDOWS\System32\netevent.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys','');
DeleteFile('\\?\globalroot\systemroot\system32\bknifku.exe');
BC_Activate;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить.
в карантине файл 10_155_29.bat оставил мастер, подключавший инет, нужен для подключения к нему
C:\Documents and Settings\123\Рабочий стол\wpepro09x(3).zip- это Вам нужно?
1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.0.24\ShoppingReport.dll (file missing)
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.24\ShoppingReport.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.24\ShoppingReport.dll (file missing)
[/CODE]
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
QuarantineFile('C:\Documents and Settings\123\Application Data\CMedia\CMedia.dll','');
DeleteFile('C:\Documents and Settings\123\Application Data\CMedia\CMedia.dll');
DeleteFileMask('C:\Documents and Settings\123\Application Data\CMedia', '*.*', true);
DeleteDirectory('C:\Documents and Settings\123\Application Data\CMedia');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log;)
C:\Documents and Settings\123\Рабочий стол\wpepro09x(3).zip- нужно
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\Documents and Settings\123\Application Data\CMedia\CMedia.dll');
DeleteFileMask('C:\Documents and Settings\123\Application Data\CMedia', '*.*', true);
DeleteDirectory('C:\Documents and Settings\123\Application Data\CMedia');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log;)
готово
Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
O1 - Hosts: 69.10.53.230 odnoklassniki.ru
O1 - Hosts: 69.10.53.230 www.odnoklassniki.ru
O1 - Hosts: 69.10.53.230 vkontakte.ru
O1 - Hosts: 69.10.53.230 www.vkontakte.ru
O1 - Hosts: 69.10.53.230 vk.com
O1 - Hosts: 69.10.53.230 www.vk.com
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.24\ShoppingReport.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.24\ShoppingReport.dll (file missing)
[/CODE]
больше подозрительного нет.
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\123\рабочий стол\wpepro09x(3).zip - [B]HackTool.Win32.Sniffer.WpePro.u[/B] ( DrWEB: archive: Trojan.WpePro, BitDefender: Trojan.Generic.3563044, NOD32: Win32/Sniffer.WpePro.B trojan )[/LIST][/LIST]