Здраствуйте! Троянчик у меня, смс хочет. КьюрИт в безопасном режиме удаляет файлики WINDOWS\ctfmon.exe и из папки Temp много. Затем все загружается норм. При открытии Оперы вылезает окошко снова. То же самое при подключении инета.
Очень надеюсь на вашу помощь!
Attachment 168788
Attachment 168789
Attachment 168794
Last edited by bustergood; 10-13-2009 at 07:21 PM.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Code:begin ClearQuarantine; SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); QuarantineFile('C:\DOCUME~1\Belik\LOCALS~1\Temp\b.exe',''); DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}'); DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}'); QuarantineFile('C:\WINDOWS\system32\msxml71.dll',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0040142622-1264353265-494956030-4071\mwau.exe',''); QuarantineFile('c:\windows\windows7addon.exe',''); TerminateProcessByName('c:\windows\windows7addon.exe'); QuarantineFile('c:\docume~1\belik\locals~1\temp\311.exe',''); TerminateProcessByName('c:\docume~1\belik\locals~1\temp\311.exe'); DeleteFile('c:\docume~1\belik\locals~1\temp\311.exe'); DeleteFile('c:\windows\windows7addon.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0040142622-1264353265-494956030-4071\mwau.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFile('C:\WINDOWS\system32\msxml71.dll'); DeleteFile('C:\DOCUME~1\Belik\LOCALS~1\Temp\b.exe'); DeleteFile('C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job'); DeleteFile('{BB65B0FB-5712-401b-B616-E69AC55E2757}.job'); DeleteFile('H:\autorun.inf'); DeleteFileMask('%tmp% ','*.* ',true ); BC_ImportDeletedList; ExecuteSysClean; ExecuteWizard('TSW', 3, 3, true); ExecuteWizard('SCU', 3, 3, true); BC_Activate; CreateQurantineArchive('C:\quarantine.zip'); RebootWindows(true); end.
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=57109
3. Повторите логи.
Last edited by Aleksandra; 10-13-2009 at 07:33 PM.
Сердце решает кого любить... Судьба решает с кем быть...
Сделал. При выполнении скрипта номер 2 (сбор информации) подключил интернет (как написано в инструкции). Вылазит троян, гад.
Логи:
Attachment 168811
Attachment 168812
Attachment 168813
Архив загрузил по ссылке.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Code:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\windows7addon.exe'); DeleteFile('c:\windows\windows7addon.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1657718840-5570372388-833774190-4896\mwau.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); BC_ImportDeletedList; ExecuteSysClean; ExecuteWizard('TSW', 3, 3, true); BC_Activate; RebootWindows(true); end.
3. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
Ура! Опера и инет работают, троян не вылазит! Спасибо огромное!!!
Attachment 168816
Если будут потом проблемы с ним же, создавать новую тему или отвечать в эту?
Ничего зловредного в логах нет.
Не должны быть.Originally Posted by bustergood
Сердце решает кого любить... Судьба решает с кем быть...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\docume~1\belik\locals~1\temp\235.exe - Trojan-Ransom.Win32.SMSer.oc ( DrWEB: Trojan.Winlock.325, NOD32: Win32/LockScreen.BU trojan, AVAST4: Win32:Malware-gen )
- c:\docume~1\belik\locals~1\temp\311.exe - Backdoor.Win32.IRCBot.mps ( DrWEB: BackDoor.IRC.Sdbot.5343, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0040142622-1264353265-494956030-4071\mwau.exe - P2P-Worm.Win32.Palevo.jyf ( DrWEB: Win32.HLLW.Lime.18 )
- c:\windows\ctfmon.exe - Trojan-Ransom.Win32.SMSer.oc ( DrWEB: Trojan.Winlock.325, NOD32: Win32/LockScreen.BU trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\msxml71.dll - Trojan.Win32.FraudPack.ufw ( DrWEB: Trojan.Fakealert.5507, BitDefender: Trojan.Generic.2472200, NOD32: Win32/TrojanDownloader.FakeAlert.AIM trojan, AVAST4: Win32:FakeAV-RP [Trj] )
- c:\windows\windows7addon.exe - Packed.Win32.Krap.af ( DrWEB: Win32.HLLW.Lime.based.18, BitDefender: Application.Generic.248698, AVAST4: Win32:MalOb-U [Cryp] )
- c:\windows\windows7addon.exe - Backdoor.Win32.IRCBot.mps ( DrWEB: BackDoor.IRC.Sdbot.5343, AVAST4: Win32:Malware-gen )
Уважаемый(ая) bustergood, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Posting Permissions
