Помогите,пожалуйста,удалить Win32.TrojanPWS.LdPinch.
Антивирусник Nod32 его не видит. Видят Ad-Aware и AVZ. Удаляю, опять появляется... Подскажите,пожалуйста, Как удалить?..
Заранее спасибо!
вложенный log.
Printable View
Помогите,пожалуйста,удалить Win32.TrojanPWS.LdPinch.
Антивирусник Nod32 его не видит. Видят Ad-Aware и AVZ. Удаляю, опять появляется... Подскажите,пожалуйста, Как удалить?..
Заранее спасибо!
вложенный log.
Сделайте логи по [URL="http://virusinfo.info/showthread.php?t=1235"]правилам[/URL].
Логи...
Правила нужно выполнять чётко.
Пункт 6 выполнен не корректно. Нужно делать как написано, не как вы.
Пункт 7 не выполнен (выполнить сейчас ! )
1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O16 - DPF: {33331111-1111-1111-1111-615111193427} - [/code]
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Bonjour\mDNSResponder.exe','');
QuarantineFile('C:\Program Files\Microsoft Office\Office10\OSA.EXE','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_copy.log');
BC_Activate;
RebootWindows(true);
end.[/code]
3.Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12478[/url]
Прошу прощеня за некорректные действия..
Всё сделал. Только строчки O16 - DPF: {33331111-1111-1111-1111-615111193427} - почему-то не было...
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
карантин прислал...
1. C:\Documents and Settings\Компик\Application Data\Mra\Update\menu.dll от майл агента ... на него адваре всегда кричит не обращайте внимания..
[B]2.отключите восстановление системы (это указано в правилах ) ...[/B]
3.C:\Program Files\Microsoft Office\Office10\OSA.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
поищите через AVZ -поиск файлов на диске ( в карантин они не попали) ... если найдутся пришлите их по правилам ...
1. Небольшая предыстория.
Неск-ко дней назад вдруг перестал подходить пароль к М-Агенту при авторизации.Проверил Адваром - "Win32.TrojanPWS.LdPinch". 5 записей в реестре!,один файл-тот самый menu.dll. Раньше Адваре на этот файл не кричал. И подобного вируса не было. Ещё в тот день за пол-часа от М-Агента мне пришло 12 сообщений непонятного содержания. Я так понял,это взлом пароля...
2. Восстановление системы я уже отключил.
3-й пункт,пардон,я не понял... Что это за файлы?(C:\Program Files\Microsoft Office\Office10\OSA.EXE ,
C:\Program Files\Bonjour\mDNSResponder.exe) , и какие файлы мне поискать через AVZ-поиск файлов на диске?
С уважением, Dm-Foto.
[B]DM-Foto[/B], 2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Bonjour\mDNSResponder.exe','');
QuarantineFile('C:\Program Files\Microsoft Office\Office10\OSA.EXE','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_copy.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
3.Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12478[/url]
1. пришлите файл menu.dll по правилам...
2. во время выполнения стандартных скриптов восстановление было включено
прислал карантин C:\Program Files\Bonjour\mDNSResponder.exe , и файл menu.dll (zip-архив "menu.dll").
скрипт выполнил.
восстановление системы у меня сейчас отключено.
Господа! Что же мне дальше делать??...
menu.dll - Симантек убил влет. Сказал, что это InfoStealer.
Нвдо думаю переставить MailAgent.
menu.dll - [B]вирлаб его вредным не считает[/B](детектят только антивирусники не популярные у нас ... похоже ложное срабатывание )
[code]
Antivirus Version Last Update Result
AhnLab-V3 2007.9.18.0 2007.09.18 -
AntiVir 7.6.0.10 2007.09.18 -
Authentium 4.93.8 2007.09.18 W32/Trojan.BPOL
Avast 4.7.1043.0 2007.09.17 -
AVG 7.5.0.485 2007.09.17 -
BitDefender 7.2 2007.09.18 Trojan.Horse.Pws.Ldpinch.DQY
CAT-QuickHeal 9.00 2007.09.17 -
ClamAV 0.91.2 2007.09.18 Trojan.LdPinch-657
DrWeb 4.33 2007.09.18 -
eSafe 7.0.15.0 2007.09.17 suspicious Trojan/Worm
eTrust-Vet 31.2.5144 2007.09.18 -
Ewido 4.0 2007.09.18 -
FileAdvisor 1 2007.09.18 Low threat detected
Fortinet 3.11.0.0 2007.09.18 -
F-Prot 4.3.2.48 2007.09.17 W32/Trojan.BPOL
F-Secure 6.70.13030.0 2007.09.18 W32/LdPinch.IYH
Ikarus T3.1.1.12 2007.09.18 Trojan.Horse.Pws.Ldpinch.DQY
Kaspersky 4.0.2.24 2007.09.18 -
McAfee 5121 2007.09.17 -
Microsoft 1.2803 2007.09.18 -
NOD32v2 2537 2007.09.18 -
Norman 5.80.02 2007.09.18 W32/LdPinch.IYH
Panda 9.0.0.4 2007.09.18 Suspicious file
Prevx1 V2 2007.09.18 -
Rising 19.41.13.00 2007.09.18 -
Sophos 4.21.0 2007.09.18 -
Sunbelt 2.2.907.0 2007.09.15 Trojan.Horse.Pws.Ldpinch.DQY
Symantec 10 2007.09.18 Infostealer
TheHacker 6.2.5.061 2007.09.17 -
VBA32 3.12.2.4 2007.09.18 -
VirusBuster 4.3.26:9 2007.09.17 -
Webwasher-Gateway 6.0.1 2007.09.18 -
[/code]
C:\Program Files\Bonjour\mDNSResponder.exe -чистый ...
Попробовал переустановить М-Агента,та же петрушка! Но вот что интересно!Удалил полностью Агента (перед этим ОЧЕРЕДНОЙ РАЗ удалил 5 ключей реестра "Win32.TrojanPWS.LdPinch"! ), перезагрузился,проверил комп Адваром,и он мне не показал ни одного вируса!! Нет Агента - нет вируса.
Стоило мне установить Агента,( другую версию),-опять он появился! В чём же дело??... Ведь раньше такого не было... Что же получается,мне теперь нельзя устанавливать Агент??...:embarasse
[QUOTE=V_Bond;135180]1. C:\Documents and Settings\Компик\Application Data\Mra\Update\menu.dll от майл агента ... на него адваре всегда кричит не обращайте внимания..
[/QUOTE]
отсылался он не раз в вирлаб ничего там вредного не находят ..
..забыл сказать, в папке Update появились какие-то файлы " russian.aff " , " russian.hash " , " russian.dict " ..
russian.aff - что-то для проверки орфографии,
russian.hash -то же что-то от словарей ...
В Adware нет возможности задать исключения. Поэтому Вам придется мириться с ее предупреждениями, или использовать другую программу.
Спасибо за инфу!
Но в Adware ли всё дело? Что мне теперь делать с Агентом? Почему работает принцип "Нет агента - нет вируса, есть Агент - есть вирус" ?? Появляется он (вирус) только тогда,когда Агента я добавлю в автозагрузку и перезагружу комп.......... Раньше у меня одновременно существовали и Адваре,и Агент, но такого никогда не было...........
[QUOTE='DM-Foto;135928']Но в Adware ли всё дело? Что мне теперь делать с Агентом[/QUOTE]
Adware работает с реестром. Она не проверяет файлы. Что-то в разделе реестра, связанном с menu.dll, похоже на "злобного Пинча" по понятиям (базам) Adware.
PavelA, какой выход из данной ситуации Вы мне можете предложить?..
не использовать адваре ... у вас уже есть нормальный антивирус ...
+10 к сообщению V_Bond
Хотите сказать,не обращать внимания на " Win32.TrojanPWS.LdPinch " ?
Угу.
...Ведь действительно кто-то взломал мой пароль в Агенте, кто-то общался под моим именем, мне приходили сообщения разного характера от левых людей!.....Это только то,что Я заметил... Если я оставлю в покое Адваре и вышенаписанный вирус, не повториться ли всё это опять??
Скорей всего так совпало,вирусные аналитики ничего вредоносного не нашли в этом файле,поэтому либо не мириться с предупреждениями либо не использовать адваре ;)
возможно был простой пароль...
Рекомендациями по паролям [url]http://virusinfo.info/showpost.php?p=50162&postcount=1[/url]
Еще кое-что хотел спросить.. Сейчас восстановление системы включить? И,на будущее,если комп заражен вирусом (-ами),удалять их лучше в безопасном режиме или без разницы?
И что это вообще такое "Win32.TrojanPWS.LdPinch" ? Это вирус или что-то другое?
Win32.TrojanPWS.LdPinch - троян ворующий пароли ...
восстановление можно включить и выключать на время лечения ...
[QUOTE=DM-Foto;136470]Еще кое-что хотел спросить.. Сейчас восстановление системы включить? И,на будущее,если комп заражен вирусом (-ами),удалять их лучше в безопасном режиме или без разницы?
И что это вообще такое "Win32.TrojanPWS.LdPinch" ? Это вирус или что-то другое?[/QUOTE]
Что-то из зловредов хорошо удаляется в обычном режиме. Что-то (руткиты) только через безопасный, да еще и с хитростями.
Что такое Пинч - воровалка паролей. По этому названию на сайте viruslist.com есть описание. Его разработчик очень известная личность клепает новые версии одна за другой.
Восстановление системы включенное может спасти, а может и нет.
Объясните,если несложно, для чего рекомендуется отключать восстановление системы на время лечения?..
чтобы система не сохраняла зловредов (считая их системными файлами ) ...
Всем СПАСИБО ! Спасибо,что ВЫ есть ! :)
Насчёт ваших дырок в системе:[code]
> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/code]
Я так понимаю сетки нет, то тогда смело cоветую всё залатать, чтобы это сделать нужно выполнить следующий скрипт:
[code]begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
end.
[/code]
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
( Скрипт выполнил.Только случайно нажал Запустить 2 раза:) Ничего ведь страшного?)
[QUOTE='DM-Foto;136523']Ничего ведь страшного?)[/QUOTE]Нет, только следует перегрузить компьютер, я забыл вставить в скрипт перезагрузку.
Спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\system volume information\\_restore{8c58efd7-236b-4552-ae29-4ea79e0913c8}\\rp161\\a0045041.dll - [B]not-a-virus:AdWare.Win32.OneStep.a[/B] (DrWEB: Adware.OneStep)[/LIST][/LIST]