Троян Jorik.Lolbot

Printable View

11.11.2010, 18:50
D4Ni3L

Троян Jorik.Lolbot

Заметил, что на флешках стал появляться подозрительный авторан и скрытая папка с исполнительным фалом. Загрузил его на вирустотал - выдал название Trojan.Win32.Jorik.Lolbot.hi, как с ним бороться в интернете не нашел.
Прошу вашей помощи! Заранее благодарю.
11.11.2010, 18:57
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\docume~1\4b0e~1\locals~1\temp\lsass.exe');
QuarantineFile('C:\DOCUME~1\4B0E~1\LOCALS~1\Temp\lsass.exe','');
DeleteFile('C:\DOCUME~1\4B0E~1\LOCALS~1\Temp\lsass.exe');
DeleteFile('C:\Program Files\Internet Explorer0\setupapi.rar');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Firewall');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Firewall');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('G:\TTHDHGC\DFG-2352-66235-2352322-634621321-6662355\364855.exe','');
DeleteFile('G:\TTHDHGC\DFG-2352-66235-2352322-634621321-6662355\364855.exe');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
11.11.2010, 20:08
D4Ni3L

карантин 101111_200657_quarantine_4cdc22b148588.zip
11.11.2010, 20:26
olejah

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
DeleteFile('C:\Documents and Settings\Данёк\Application Data\Desktopicon\eBayShortcuts.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

[B]C:\Program Files\mirc\mirc.exe.bak[/B] - знакомо Вам, знаете что это такое?
11.11.2010, 20:31
D4Ni3L

да, это непропатченный мирк клиент.
в общем, кажется всё удалось! на флешки ничего не копируется.
Гениально!) спасибо!
11.11.2010, 20:37
olejah

Рекомендуется

- Установить все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установить [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.
12.11.2010, 20:37
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]