Printable View
Добрый день.
Большая просьба, посмотрите логи, подозреваю что не всё удалось почистить Каспером 6.0 и Ewido , обнаружены были трояны
Касперский:
удалено: троянская программа Trojan-Downloader.JS.Agent.ga Файл: C:\Documents and Settings\Cyber\Local Settings\Temporary Internet Files\Content.IE5\AKLRJY9J\fomitex[1].htm
от Ewido логи не сохранились.
Сиптомы сейчас: Очень медленная работа браузера (IE), причём замедление происходит постепенно. Процессы svchost и iexplore отжирают память
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\DOWNLO~1\EWIDOO~1.DLL','');
QuarantineFile('c:\windows\svchost.exe','');
DeleteFile('c:\windows\svchost.exe');
DeleteFile('C:\WINDOWS\DOWNLO~1\EWIDOO~1.DLL');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки [URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis [CODE]O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\[/CODE]
Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи. Очистите кэш IE.
карантин выслал. кэш почистил.
новые логи:
В логах чисто. Проблема ещё проявляется? Результаты анализа присланных файлов ещё не пришли, но я уверен, что это был пинч (троян ворующий пароли). Так лучше не теряйте времени и меняйте пароли. Кстати Вы не догадываетесь, где могли получить этого трояна? Если будут какие-то адреса, пишите мне в личку.
[quote=MaXim;110896]В логах чисто. Проблема ещё проявляется? Результаты анализа присланных файлов ещё не пришли, но я уверен, что это был пинч (троян ворующий пароли). Так лучше не теряйте времени и меняйте пароли. Кстати Вы не догадываетесь, где могли получить этого трояна? Если будут какие-то адреса, пишите мне в личку.[/quote]
к сожаления с адресом не помогу.
Симптомы не проявляются пока , спасибо!
Советую почитать на досуге вот [URL="http://security-advisory.newmail.ru/"]эту[/URL] книгу.
Вы можете нас отблагодарить [URL="http://www.virusinfo.info/showthread.php?t=3519"]так[/URL]. Мы будем Вам очень благодарны!
В качестве вариантов ещё почитайте [URL="http://www.virusinfo.info/showthread.php?t=2645"]тут[/URL] и [URL="http://www.virusinfo.info/showthread.php?t=7294"]тут[/URL].
Отдельно поблагодарить хелперов можно повысив им рейтинг. Для этого есть кнопочка в самом низу "визитной карточки" в виде весов у сообщения хелпера.
Удачи!
[QUOTE]New malicious software was found in the attached file.
avz00001.dta - Trojan-PSW.Win32.LdPinch.byx[/QUOTE]Что и требовалось доказать :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\svchost.exe - [B]Trojan-PSW.Win32.LdPinch.byx[/B] (DrWEB: Trojan.Packed.166)[/LIST][/LIST]