-
Junior Member
- Вес репутации
- 57
Лечение winlock.
добрый день.
Подцепил заразу через Firefox (ну если быть более точным скорее всего через надстройку pdf хотя и стоят отключенные javascript'ы в свойствах adobe acrobat) Очень расстроен, потому что не могу вылечить - доктор веб ничего не находит в безопасном режиме.
При мониторинге трафика svchost постоянно ломится на butirat.com/<blah-blah-blah> и на ряд других сайтов.
Прилагаю логи. Есть подозрение на файл windows\system32\netprotocol.dll однако точно не уверен. Вопрос - эта дрянь отсылает пароли хранимые в фаре/бате и т.п. куда либо? Я веб-мастер и у меня с несколько десятков сайтов заказчиков.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\yz_dck0083\YzDock.exe','');
QuarantineFile('C:\Program Files\HideHelper\form.dll','');
QuarantineFile('z:\usr\bin\php5.exe','');
QuarantineFile('c:\windows\system32\netprotocol.dll','');
QuarantineFile('C:\PROGRA~1\IZArc\IZArcCM.dll','');
DeleteFile('c:\windows\system32\netprotocol.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 57
При первом запуске AVZ подвис. Перегрузился, выполнил второй раз. Все успешно, файл
DeleteFile('c:\windows\system32\netprotocol.dll');
удален, однако в памяти опять висит неизвестный sys файл помеченный в логах avz - скриншот gmer'а http://clip2net.com/page/m0/4047308
П 2,3 сейчас выполню. - виснет AVZ - необходима перезагрузка.
-
Junior Member
- Вес репутации
- 57
Здравствуйте еще раз. Вот отчет. Все тот же sys файл под другим именем.
-
Junior Member
- Вес репутации
- 57
похоже все ок! этот sys файл, судя по всему - от daemon tools. больше svchost не ломится
-
C:\Program Files\yz_dck0083\YzDock.exe - это знакомо?
Удалите Bonjour
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\netprotocol.dll - Backdoor.Win32.Buterat.gc ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.eq8@aeQ@C8pc )
-
