Приветствую, уважаемые форумчане!
Произошла такая неприятность - украли пароли от FTP сайтов из Total Commander'а. Проверился Avast'ом и CureIt, далее всё по инструкции, выкладываю логи.
Что мне делать дальше?
Printable View
Приветствую, уважаемые форумчане!
Произошла такая неприятность - украли пароли от FTP сайтов из Total Commander'а. Проверился Avast'ом и CureIt, далее всё по инструкции, выкладываю логи.
Что мне делать дальше?
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -
[CODE]R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKCU\..\Policies\Explorer\Run: [System Panel] C:\WINDOWS\system32\syspanel32.exe[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\mute2x.sys','');
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
- Повторите логи + сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]МВАМ[/URL]
Прикрепляю, карантин загрузил.
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -
[CODE]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\focus.eprotocol (Trojan.BHO) -> No action taken.
Зараженные файлы:
C:\WINDOWS\Documents and Settings\Пользователь\Application Data\avdrn.dat (Malware.Trace) -> No action taken.[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\ProgDVB\Loader.exe','');
QuarantineFile('D:\Program Files\phunter\bin\phunter.exe','');
QuarantineFile('C:\Program Files\Image-Line\Toxic Biohazard\Toxic Biohazard.dll','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
Карантин загрузил
У меня к Вам вопрос по файлам -
[B]D:\Program Files\phunter\bin\phunter.exe[/B]
[B]C:\Program Files\ProgDVB\Loader.exe[/B] - это вроде что-то со спутниковым ТВ связано
[B]C:\Program Files\Image-Line\Toxic Biohazard\Toxic Biohazard.dll[/B]
Что Вам о них известно?
[B]D:\Program Files\phunter\bin\phunter.exe[/B]
это было приложение pHunter, для обнаружения руткитов. Последние несколько месяцев почему-то не работает - вылетает с ошибкой при запуске;
[B]C:\Program Files\ProgDVB\Loader.exe[/B]
это кряк для ProgDVB (просмотр спут. ТВ), тоже работает как-то криво;
[B]C:\Program Files\Image-Line\Toxic Biohazard\Toxic Biohazard.dll[/B]
это VST-синтезатор, стоит с 2008 года, работает отлично, но всё это время на него через раз ругаются всевозможные программы защиты. Троянской активности от его имени вроде не наблюдается.
Тогда больше ничего плохого не вижу. Нужно поменять все пароли.
[size="1"][color="#666686"][B][I]Добавлено через 25 минут[/I][/B][/color][/size]
Настоятельно рекомендуется обновить -
Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/URL] (даже если им не пользуетесь)
Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Так же обновите C:\Program Files\Adobe\Acrobat [B]7.0[/B] с официального сайта
Спасибо Вам за помощь.
Еще вопрос - что это за "обновление windows для удаления вредоносных программ"? Оно желательно или не очень?
Как минимум не повредит, это антивирусный сканер от MS, выпускается ежемесячно как обновление Windows, отрабатывает один раз после загрузки и успокаивается.
Емнип, будет потом лежать в system32 под именем MRT.exe
Когда была эпидемия Kido, эта штука нам здорово помогла: прописали в домене для всех компьютеров его выполнение при загрузке, побила тогда этих троянов немерено.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]