Trojan.Win32.Zapchast.cax IE

Printable View

17.09.2010, 10:06
akalibr

Trojan.Win32.Zapchast.cax IE

Данный вирус прикрутился к IE, обновил Каспера, вирус ушел, но хотелось бы точно знать, есть остатки вируса в системе или нет.
Прошу Вас глянуть логи
17.09.2010, 10:13
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Александр\Local Settings\Temp\om21.tmp','');
DeleteFile('C:\Documents and Settings\Александр\Local Settings\Temp\om21.tmp');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]полного сканирования МВАМ[/URL]
17.09.2010, 11:18
akalibr

карантин залил, время логов...
... а вот и лог
17.09.2010, 13:21
akalibr

запустил полную проверку каспером, он удалил C:\WINDOWS\system32\sfcfiles.dll, значит mbam не ошибся
17.09.2010, 13:41
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -

[CODE]Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.
[/CODE]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then
begin
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
end else
AddToLog('dllcache\sfcfiles.dll does not exist');
SaveLog(GetAVZDirectory + 'avz.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Файл [B]avz.log[/B] из папки с АВЗ прикрепите к следующему сообщению
17.09.2010, 13:54
akalibr

вот лог, прошу посмотреть
17.09.2010, 13:55
olejah

Повторите лог МВАМ
18.09.2010, 13:55
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]44[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\application data\\hhhhwwwwwwc.exe - [B]Trojan-Ransom.Win32.PornoAsset.us[/B] ( DrWEB: Trojan.Winlock.3585, BitDefender: Trojan.Generic.6134898, AVAST4: Win32:MalOb-IJ [Cryp] )[*] c:\\documents and settings\\all users\\application data\\llaaaaaaaaq.exe - [B]Trojan-Ransom.Win32.PornoAsset.fz[/B] ( DrWEB: Trojan.Winlock.3445, BitDefender: Trojan.Generic.KDV.233244, NOD32: Win32/LockScreen.AGD trojan, AVAST4: Win32:Kryptik-ENN [Trj] )[*] c:\\documents and settings\\all users\\application data\\22cc6c32.exe - [B]Trojan-Ransom.Win32.PornoAsset.us[/B] ( DrWEB: Trojan.Winlock.3585, BitDefender: Trojan.Generic.6134898, AVAST4: Win32:MalOb-IJ [Cryp] )[*] c:\\documents and settings\\lilifart\\application data\\b2_res.exe - [B]Trojan.Win32.Lebag.cyn[/B] ( DrWEB: Trojan.Inject.43613, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\lilifart\\application data\\netprotdrvss - [B]Trojan-Dropper.Win32.Dapato.sh[/B] ( DrWEB: BackDoor.Butirat.20, BitDefender: Trojan.Generic.6140330, AVAST4: Win32:Buterat-X [Trj] )[*] c:\\documents and settings\\lilifart\\application data\\netprotocol.exe - [B]Trojan-Dropper.Win32.Dapato.sh[/B] ( DrWEB: BackDoor.Butirat.20, BitDefender: Trojan.Generic.6140330, AVAST4: Win32:Buterat-X [Trj] )[*] c:\\documents and settings\\lilifart\\application data\\sun\\java\\deployment\\cache\\6.0\\61\\1ba75b7d-43c686fb - [B]Backdoor.Win32.Buterat.bci[/B] ( DrWEB: BackDoor.Butirat.18, BitDefender: Trojan.Generic.6143838, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Buterat-N [Trj] )[*] c:\\documents and settings\\lilifart\\local settings\\temporary internet files\\content.ie5\\djgunjfx\\codi[1].exe - [B]Trojan-Ransom.Win32.PornoAsset.us[/B] ( DrWEB: Trojan.Winlock.3585, BitDefender: Trojan.Generic.6134898, AVAST4: Win32:MalOb-IJ [Cryp] )[*] c:\\documents and settings\\lilifart\\local settings\\temp\\0.24237920371632704.exe - [B]Backdoor.Win32.Buterat.bci[/B] ( DrWEB: BackDoor.Butirat.18, BitDefender: Trojan.Generic.6143838, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Buterat-N [Trj] )[*] c:\\windows\\system32\\conime32.exe - [B]Trojan.Win32.Lebag.cyn[/B] ( DrWEB: Trojan.Inject.43613, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\dllcache\\userinit.exe - [B]Trojan-Ransom.Win32.PornoAsset.us[/B] ( DrWEB: Trojan.Winlock.3585, BitDefender: Trojan.Generic.6134898, AVAST4: Win32:MalOb-IJ [Cryp] )[*] c:\\windows\\system32\\userinit.exe - [B]Trojan-Ransom.Win32.PornoAsset.us[/B] ( DrWEB: Trojan.Winlock.3585, BitDefender: Trojan.Generic.6134898, AVAST4: Win32:MalOb-IJ [Cryp] )[/LIST][/LIST]