Trojan:Win32/Vundo.KT

Printable View

14.06.2010, 09:21
Yulechka947

Trojan:Win32/Vundo.KT

Поймала эту заразу.
Появился баннер,перестал отвечать IE.
AVPTool этот троян не видит,NOD также не замечает,только защитник пишет,что удаляет,но ... и баннер ,и троян на месте...
С AVZ ничего не получается(((
Помогите,пожалуйста.
14.06.2010, 09:47
thyrex

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
O1 - Hosts: 91.206.201.30 www.odnoklassniki.ru
O1 - Hosts: 91.206.201.30 odnoklassniki.ru
O1 - Hosts: 91.206.201.30 my.mail.ru
O2 - BHO: (no name) - {77B6940A-ED7A-478B-8B38-291F7B0D1192} - C:\WINDOWS\system32\browsel.dll (file missing)
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [Task] C:\DOCUME~1\USER~1.B6C\taskmgr.exe
O4 - HKCU\..\Policies\Explorer\Run: [Task] C:\DOCUME~1\USER~1.B6C\taskmgr.exe[/CODE]Пробуйте сделать весь комплект логов.

Если обычный AVZ работать не будет, используйте полиморфный AVZ из моей подписи
14.06.2010, 18:51
Yulechka947

Спасибо за полиморфный AVZ.
Запустила,жду...

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 55 минут[/I][/B][/color][/size]

Загрузила карантин.
Жду...
14.06.2010, 21:26
thyrex

Логи AVZ где?
15.06.2010, 03:05
Yulechka947

Добавила логи AVZ.
15.06.2010, 09:51
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('c:\program files\common files\google\hrome.exe','');
DeleteFile('c:\program files\common files\google\hrome.exe');
QuarantineFile('c:\DisableS3S4.cmd','');
QuarantineFile('C:\Users\Юлия\AppData\Roaming\svchost.exe','');
QuarantineFile('C:\Users\C65D~1\AppData\Local\Temp\kui9660.tmp','');
QuarantineFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe','');
QuarantineFile('globalroot\systemroot\system32\usеrinit.exe','');
QuarantineFile('C:\DOCUME~1\USER~1.B6C\taskmgr.exe','');
DeleteFile('C:\DOCUME~1\USER~1.B6C\taskmgr.exe');
DeleteService('userinit');
DeleteFile('globalroot\systemroot\system32\usеrinit.exe');
DeleteFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','shell');
DeleteFile('C:\Users\C65D~1\AppData\Local\Temp\kui9660.tmp');
DeleteFile('C:\Users\Юлия\AppData\Roaming\svchost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{955A0E4D-97B7-69CE-D01F-0181674D510D}');
DeleteFile('c:\DisableS3S4.cmd');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DisableS3S4');
DeleteFileMask('C:\Program Files\Common Files\SysAware Soft', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\SysAware Soft');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
15.06.2010, 23:42
Yulechka947

Все сделала.Все вирусы на месте...
Сейчас заново все загружу.
15.06.2010, 23:57
Yulechka947

Вложений: 1

Вот новые логи...
15.06.2010, 23:59
Yulechka947

Карантин вновь загрузила.
16.06.2010, 00:05
thyrex

Какие вирусы на месте?
16.06.2010, 00:14
Yulechka947

Когда последний раз делала логи AVZ вновь были записи красным ,подозрение на то,подозрение на это (trojan.kyjak...)
16.06.2010, 00:16
thyrex

[QUOTE='Yulechka947;655252']Когда последний раз делала логи AVZ вновь были записи красным[/QUOTE]:)
В логах ничего необычного
16.06.2010, 00:23
Yulechka947

Да?
Ура!
Я просто так и не дождалась на экране монитора фразы,что именно Trojan:Win32/Vundo.KT удален .
Баннер исчез,быстродействие увеличилось,IE открывается.
Спасибо!
Trojan:Win32/Vundo.KT нигде не спрятался?
16.06.2010, 00:36
thyrex

[QUOTE='Yulechka947;655256']Trojan:Win32/Vundo.KT нигде не спрятался?[/QUOTE]А в каком файле он обнаруживался?
16.06.2010, 01:06
Yulechka947

Его не видел ни мой антивирус NOD32,не обнаруживал AVPTool,почему-то только защитник Виндуса писал,что этот вирус есть и он его хочет удалить,размещение не помню(((
Но удалить его он не мог раз 10 подряд.После чего я и обратилась к Вам.
Но сейчас защитник молчит.
16.06.2010, 01:15
thyrex

Значит мы его победили. Выписываем из клиники :)
16.06.2010, 01:28
Yulechka947

Спасибо большое-пребольшое!!!))))))))))))))))))))))))))
17.06.2010, 01:28
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]96[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]