Словил гадость

Printable View

15.11.2010, 01:10
Mortymer

Словил гадость

Как вот это лечить?

[QUOTE]Дополнительная информация:
по обеим ссылка скачиваются одинаковые файлы. Модификации Trojan.Win32.FraudPack (либо по упаковщику Packed.Win32.Katusha)
файл загружает на компьютер файл, который по цепочке загружает еще несколько, затем самоуничтожается батником, извлекаемым из своего тела.
[U]Таким образом созданы файлы:[/U]
[B]C:\WINDOWS\system32\sshnas21.dll
%temp%\Zlz.exe
%temp%\Zl0.exe
%temp%\Zl1.exe[/B]

[U]Ветки реестра:[/U]
Ключ: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SSHNAS\Parameters
Параметр: ServiceDll
Значение:C:\WINDOWS\system32\sshnas21.dll

Ключ: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Параметр: U36VRSFLG6
Значение:C:\TEMP\Zl1.exe[/QUOTE]
15.11.2010, 06:35
olejah

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Windows\System32\cskeyboardlogon.dll','');
QuarantineFile('C:\Windows\SysWOW64\cskeyboardlogon.dll','');
BC_ImportAll;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Выполните процедуру, описанную в первом сообщении этой темы - [URL="http://virusinfo.info/showthread.php?t=3519"]http://virusinfo.info/showthread.php?t=3519[/URL], ссылку на результат приложите к следующему сообщению.
15.11.2010, 10:27
Mortymer

[url]http://virusinfo.info/showpost.php?p=732421&postcount=9241[/url]
15.11.2010, 10:47
olejah

Вируса в Ваших логах не было обнаружено. Откуда подозрения?
15.11.2010, 11:36
Mortymer

C варезного сайта скачал кряк.
Два раза кликнул на файл он исчез.

Пошел по форумам сказали возможно троян.
Касперский молчал как партизан.
15.11.2010, 11:38
olejah

Сделайте на всякий случай лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]
15.11.2010, 17:47
Mortymer

Есть
15.11.2010, 17:55
olejah

Всё, нормально. Поймал только кейгены.
15.11.2010, 22:26
Mortymer

Единственное но, после выполнения скрипта виджеты на столе перестали работать
16.11.2010, 22:26
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]