trojan.winlock.3305

**vatsaren** · 10.06.2011, 07:27

вот логи.Извините ошибся банер trojan.winlock.2741

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 10.06.2011, 07:27

Уважаемый(ая) vatsaren, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Bratez** · 10.06.2011, 15:07

Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
F2 - REG:system.ini: Shell=explorer.exe "C:\DOCUME~1\Admin\LOCALS~1\Temp\R66v.exe"
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Admin\Application Data\lsass.exe
O4 - HKLM\..\Run: [Shell] "C:\DOCUME~1\Admin\LOCALS~1\Temp\R66v.exe"
O4 - Startup: setup_9.0.0.722_09.06.2011_14-50.lnk = ?

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\lsass.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\R66v.exe','');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\R66v.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\lsass.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=103382).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

**vatsaren** · 10.06.2011, 17:47

Всё после того как в авз ввёл логи компьютер перезагрузился и банера нету спс огромное!!!Ещё вопрос а логи которые щас присылать или ненадо???И что нужно сделать что бы небыло троянов?

**Bratez** · 10.06.2011, 18:20

Новые логи для контроля обязательно.

**vatsaren** · 11.06.2011, 00:08

вот

**thyrex** · 11.06.2011, 09:21

Сделайте лог полного сканирования МВАМ

**vatsaren** · 11.06.2011, 10:20

Этот антивирус заблокировал мне доступ к половине сайтов это так и должно быть???

**thyrex** · 11.06.2011, 10:58

Сообщение от vatsaren

Этот антивирус заблокировал мне доступ к половине сайтов это так и должно быть???

О чем речь???

**vatsaren** · 11.06.2011, 18:48

О МВАМ, о том что после проверки множество сайтов просто напросто выдают ошибку (Невозможно подключиться к удалённому серверу).И никакого блокнота непоявилось после сканироввания

**vatsaren** · 11.06.2011, 19:06

Нашёл

**thyrex** · 12.06.2011, 12:08

Удалите в МВАМ только указанные строки

Код:

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Зараженные файлы:
c:\documents and settings\Admin\local settings\Temp\0.5141057959809507.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9710016189428696.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.755045920798941.exe (Trojan.Dropper) -> No action taken.

**vatsaren** · 12.06.2011, 16:38

а как найти все строки в МВАМ???

Добавлено через 8 минут

Меня начиная с завтрашнего утра не будет дома всё лето так что если чё продолжим всё это когда я вернусь

**thyrex** · 12.06.2011, 17:55

В сообщении №12 по ссылке в первом предложении перейдите

**vatsaren** · 12.06.2011, 23:12

Вот

**thyrex** · 13.06.2011, 01:08

И почему ничего не удалили???

**vatsaren** · 13.06.2011, 10:13

Я удали может сохранились оставшиеся логи в другом документе?

**vatsaren** · 13.06.2011, 10:17

всё понял как)))Надуюсь делать ничего непридётся больше птому что я щас уже уезжаю

**thyrex** · 14.06.2011, 12:42

Плохого не видно

trojan.winlock.3305 (заявка № 103382)

Опции темы

trojan.winlock.3305

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Похожие темы

Сильное заражение системы Pogram.Server.260, Trojan.SMSSend.275, Trojan.SMSSend.310, Trojan.Winlock.2741

помогите удалить trojan.winlock.3305

Розовый баннер (Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800)

Trojan.Winlock.179, Trojan.Click.42040

Вирусные аналитики: Все о Trojan.Encoder и Trojan.Winlock

Ваши права в разделе