Результаты сканирования после получения гадости с goodman.ру

[centur]

на сайте goodman.ру получил трояна, вот описание в другом форуме http://virusinfo.info/showthread.php...032#post118032

В принципе все вроде успешно вылечил, но на всякий случай вот все логи работы AVZ и HijackThis
(зипы такие большие потому что там внутри анти-баннерный hosts полностью, если это будет мешать - я могу вычистить этот кусок из логов, второй файл не влез, я присоединю его в ответе, если получится)

[centur]

virusinfo_syscure.zip:
182.0 Кбайт превысил(а) предел на форуме. Нажмите здесь для просмотра ваших вложений


примете если выложу на файловый сервер или прислать на почту ?

[drongo]

Случаем не перепутали с cure_virusinfo.zip?
virusinfo_syscure.zip больше 20-30 не весит.
вы плохо выполняете правила. Выключите все программы включая антивирус.И только потом делайте логи.
Перед выполнением следующих пунктов (8, 10, 12) закройте свои антивирусные программы, игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер!!!

[centur]

Так и выполнял.
Я же написал:
"зипы такие большие потому что там внутри анти-баннерный hosts полностью"
в логе есть "Запись файла Hosts"
у меня этот файл ~ 1.4 мб (антибаннер, со студенческих времен, правда сейчас задумался зачем он мне теперь), когда он вставляется в отчет, а еще и обрамляется html - вот и получается 2.7 мб в отчете.
и архив получается 200кб. Все естественно .

Вот эти файлы с вырезанной секцией Hosts.

а virusinfo_cure.zip - 4.5 кб, внутри только то, что AVZ вытащила из System Restore - Goldun.ph (это если смотреть просмотр карантина в AVZ)

[PavelA]

В AVZ выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('atixdaxx.dll','');
 QuarantineFile('C:\WINDOWS\Installer\{199B7F78-69B7-47C5-8D4B-A3ED1391FB6B}\NewShortcut1_8C7A59A89ABE459A9A9308C281A4A264.exe','');
 BC_DeleteFile('C:\WINDOWS\Installer\{199B7F78-69B7-47C5-8D4B-A3ED1391FB6B}\NewShortcut1_8C7A59A89ABE459A9A9308C281A4A264.exe');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин после перезагрузки.

Кстати, файл hosts присутствует в логе. Что же Вы оттуда вырезали?

[centur]

Сейчас сделаю.
Вырезал то, что находилось между localhost и bash. org.ru
там было 1.4 мбайта текста а-ля
...
127.0.0.1 126.6.87.194.dynamic.dol.ru
127.0.0.1 127.6.87.194.dynamic.dol.ru
127.0.0.1 128.6.87.194.dynamic.dol.ru
..
и прочих ссылок на localhost с баннерных url
Я вырезал только строки <TR> из таблицы,оставив первую и последнюю чтобы не нарушать html (хотя он бы и так прочитался большинством браузеров =) )

продолжение сейчас будет =)

[drongo]

кстати инет от большого хоста тоже может притормаживать . Я себе только базу от spybot s&d поставил.

[centur]

кстати инет от большого хоста тоже может притормаживать . Я себе только базу от spybot s&d поставил.

а я для себя сделал выводы что это особо не помогает - дочерние хосты 3-4 уровня могут плодиться миллионами- все в файл не занесешь, мне больше нравится pop-up blocker из гугль тулбара для ие ( и хранилище закладок там тоже есть с тегами =) ).
Но мы отошли от темы =)

вот все из карантина, и результат выполнения скрипта в Safe Mode (без SearchRootkit(true, true); и RebootWindows(true)

[centur]

хмм странно - второй файл не приложился, вот.

[drongo]

хмм странно - второй файл не приложился, вот.

japanies policeman их удалил заказанные файлики только по ссылке в шапке вашей темы, читайте правила внимательней.

[centur]

"дяденька, дяденька, я больше не буду...."

Выслал правильно.... хмм как-то не интуитивненько с интерфейсом - "тут играть, тут не играть, тут рыбу заворачивали..."

[drongo]

"дяденька, дяденька, я больше не буду...."

Выслал правильно.... хмм как-то не интуитивненько с интерфейсом - "тут играть, тут не играть, тут рыбу заворачивали..."

Чем богаты тем и рады Пока нужно заставлять читать правила внимательней
Нужен хороший web-програмист -с дизайнерским уклоном ;-) Знаете такого? Чтобы сайт не давал цеплять файлы к сообщениям которые запрещены правилами, в то же время давал закачивать в нужное место запрошенные файлы, а не логи. И конечно указывал юзеру как делать и что делать простым языком.

[centur]

Чем богаты тем и рады Пока нужно заставлять читать правила внимательней
Нужен хороший web-програмист -с дизайнерским уклоном ;-) Знаете такого? Чтобы сайт не давал цеплять файлы к сообщениям которые запрещены правилами, в то же время давал закачивать в нужное место запрошенные файлы, а не логи. И конечно указывал юзеру как делать и что делать простым языком.

я сам программист, но больше на .NET\ASP.NET, а у вас форум на PHP. А что в инете мало энтузиастов ? просто php более популярен - должно быть много желающих помочь =)

[PavelA]

@centur А карантин-то закачали?

[centur]

Да, через ссылку вверху темы

[PavelA]

Файлик подозрительный оказался чистым.
Второй попавший, что под подозрением AVZ, был в System Restore - троян.

Надо отключить временно "Восстановление системы", чтобы убить его.

[centur]

Уже.
Спасибо за помощь.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\system volume information\\_restore{49a30772-4d09-4bec-b09f-65bc451d8f9d}\\rp601\\a0227303.sys - Trojan-Banker.Win32.Banker.crq (DrWEB: Trojan.NtRootKit.281)