Trojan.PWS.Grabber и др.

[cheetah]

Dr.Web показывал кучу окошек с разными названиями вирусов, я всё нажимал удалить, потом стал вылазить только Trojan.PWS.Grabber и при подключении к инету он появлялся снова и снова..
Вот логи

[Muzzle]

1)Отключите восстановление системы!!
1.1) базы AVZ желательно обновить.
2)Выполнить скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\winload.dll','');
 QuarantineFile('\SystemRoot\System32\Drivers\atf0jctp.SYS','');
 DeleteFile('C:\WINDOWS\system32\winload.dll');
 BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

карантин прислать по правилам,приложение 3

3)пофиксить в HijackThis

Код:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

[cheetah]

Всё сделал, жду дальнейших указаний

[cheetah]

После обновления баз сделал еще одну проверку.

[Muzzle]

а кто будет восстановление системы отключать?судя по логам лечение пошло насмарку!отключите восстановление системы и выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\winload.dll');
 BC_DeleteFile('C:\WINDOWS\system32\winload.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи.

вот отчёт о сканирование winload.dll

AhnLab-V3 2007.6.27.0 06.28.2007 no virus found
AntiVir 7.4.0.34 06.28.2007 no virus found
Authentium 4.93.8 06.27.2007 no virus found
Avast 4.7.997.0 06.27.2007 no virus found
AVG 7.5.0.476 06.28.2007 no virus found
BitDefender 7.2 06.28.2007 no virus found
CAT-QuickHeal 9.00 06.27.2007 no virus found
ClamAV devel-20070416 06.28.2007 no virus found
DrWeb 4.33 06.28.2007 no virus found
eSafe 7.0.15.0 06.27.2007 suspicious Trojan/Worm
eTrust-Vet 30.8.3749 06.28.2007 no virus found
Ewido 4.0 06.27.2007 no virus found
FileAdvisor 1 06.28.2007 no virus found
Fortinet 2.91.0.0 06.28.2007 no virus found
F-Prot 4.3.2.48 06.27.2007 no virus found
F-Secure 6.70.13030.0 06.28.2007 no virus found
Ikarus T3.1.1.8 06.28.2007 no virus found
Kaspersky 4.0.2.24 06.28.2007 no virus found
McAfee 5062 06.27.2007 no virus found
Microsoft 1.2701 06.28.2007 PWS:Win32/Logsnif.gen!C
NOD32v2 2361 06.28.2007 a variant of Win32/Spy.Nuklus
Norman 5.80.02 06.27.2007 no virus found
Panda 9.0.0.4 06.28.2007 Suspicious file
Sophos 4.19.0 06.24.2007 no virus found
Sunbelt 2.2.907.0 06.27.2007 VIPRE.Suspicious
Symantec 10 06.28.2007 no virus found
TheHacker 6.1.6.140 06.28.2007 no virus found
VBA32 3.12.0.2 06.27.2007 Trojan-Spy.Win32.Small.gv
VirusBuster 4.3.23:9 06.27.2007 no virus found
Webwasher-Gateway 6.0.1 06.28.2007 Virus.Win32.FileInfector.gen (suspicious)

[PavelA]

По названию вируса видно, что надо сменить все пароли(почта,аська, пр...).

[cheetah]

Восстановление у меня отключено было...
Вот снова логи

[Bratez]

Все чисто. Осталось пофиксить в HijackThis:

Код:

O2 - BHO: COM+ Service - {2BDEC973-B5AC-4e5b-8AB3-5A0500880DA2} - C:\WINDOWS\system32\winload.dll (file missing)
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

[cheetah]

А ничего, что у меня теперь этого winload.dll нету?

[drongo]

А ничего, что у меня теперь этого winload.dll нету?

А что, вам без него скучно ? Это была гадость
Чтобы уменьшить шанс заражения советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!

Удачи!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\winload.dll - Trojan-Spy.Win32.Small.gv (DrWEB: Trojan.PWS.Grabber)