Win32/Vundo.KT

Printable View

11.08.2010, 16:46
ShadyClaus

Win32/Vundo.KT

Привет. Словил вирус, сразу закричал защитник Windows мол обнаружен троян Vundo.KT, ну я жму удали он пишет успешно и перезагружает комп, и всё по новой... Антивирусник вообще его не видит. Да и ещё после перезагрузки начала открываться папка Мои документы. Вот логи:
11.08.2010, 18:01
vegas

Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\system32\syspanel32.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
TerminateProcessByName('c:\users\Георгий\appdata\roaming\netprotocol.exe');
QuarantineFile('c:\users\Георгий\appdata\roaming\netprotocol.exe','');
DeleteFile('c:\users\Георгий\appdata\roaming\netprotocol.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
DeleteFile('C:\Windows\system32\syspanel32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]
После перезагрузки выполните второй скрипт
[code]Begin
CreateQurantineArchive('C:\quarantine.zip');
End.[/code]
Пофиксите Hijackthis
[code]R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,userinit.exe[/code]
Закачайте полученный карантин по красной ссылке вверху. Повторите логи
11.08.2010, 20:48
ShadyClaus

все сделал
11.08.2010, 21:45
thyrex

Проблема решена?
11.08.2010, 22:02
ShadyClaus

Да всё в порядке. Спасибо большое!
12.08.2010, 22:02
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\георгий\appdata\roaming\netprotocol.exe - [B]HEUR:Backdoor.Win32.Generic[/B][*] c:\windows\system32\syspanel32.exe - [B]Trojan-Spy.Win32.BZub.ict[/B] ( DrWEB: Trojan.PWS.Ibank.81 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]