-
Full Member
- Вес репутации
- 63
Trojan.PWS.LDPinch.1941 и др.
Др. Веб обнаружил и удалил следующий наборчик:
>C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\49YF8PER\mm27nov[3].exe инфицирован Trojan.DnsChange
>C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\49YF8PER\n2_18_09_07_1[1].exe инфицирован Trojan.Inject.487
>C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\BNETZ30H\mun1_26_11_070[1].exe инфицирован BackDoor.Bolg
>C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\BNETZ30H\mun1_26_11_070[2].exe инфицирован BackDoor.Bolg
>C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\BNETZ30H\mun1_26_11_070[3].exe инфицирован BackDoor.Bolg
>C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\BNETZ30H\mun1_26_11_070[4].exe инфицирован BackDoor.Bolg
C:\WINDOWS\system32\msdnc0.exe инфицирован Trojan.PWS.LDPinch.1941
C:\WINDOWS\system32\msdnc2.exe инфицирован Trojan.Proxy.2346
C:\WINDOWS\system32\msdnc7.exe инфицирован Trojan.PWS.Webmonier
Сразу хочу заметить, что базы АВЗ недельной давности, не было возможности обновиться.
Последний раз редактировалось Rogoff; 13.01.2009 в 09:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
QuarantineFile('C:\Documents and Settings\Трухина\UserData\msdnc7.exe','');
QuarantineFile('C:\DOCUME~1\7B42~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\burito7495-57dd.sys','');
QuarantineFile('C:\WINDOWS\system32\burito3523-1c39.sys','');
QuarantineFile('C:\WINDOWS\system32\burito25d3-6b55.sys','');
QuarantineFile('C:\WINDOWS\system32\burito10b7-9d.sys','');
DeleteFile('C:\WINDOWS\system32\burito10b7-9d.sys');
DeleteFile('C:\WINDOWS\system32\burito25d3-6b55.sys');
DeleteFile('C:\WINDOWS\system32\burito3523-1c39.sys');
DeleteFile('C:\WINDOWS\system32\burito7495-57dd.sys');
DeleteFile('C:\DOCUME~1\7B42~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\Documents and Settings\Трухина\UserData\msdnc7.exe');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин согласно приложению 3 правил.
2. Удалите временные файлы IE через Свойства Обозревателя
и очистите полностью папки:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
C:\WINDOWS\Temp
3. Сделайте новые логи.
I am not young enough to know everything...
-
-
Full Member
- Вес репутации
- 63
Карантин закачал, удалил временные файлы IE через Свойства Обозревателя и полностью очистил папки:
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
C:\WINDOWS\Temp
Логи прилагаются:
Последний раз редактировалось Rogoff; 13.01.2009 в 09:10.
-
Выполните скрипт в AVZ
Код:
begin
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
Повторите логи.
-
-
Full Member
- Вес репутации
- 63
скрипт выполнен, логи прилагаю:
Последний раз редактировалось Rogoff; 13.01.2009 в 09:10.
-
в логах стерильно чисто ..
-
-
Кстати - был пинч, надо менять пароли
-
-
Full Member
- Вес репутации
- 63
спасибо за напоминание можно добавлять в раздел FAQ тему "Поймал пинча - меняй пароли".
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\burito10b7-9d.sys - Email-Worm.Win32.Zhelatin.sd (DrWEB: Trojan.Spambot.2569)
- c:\\windows\\system32\\burito25d3-6b55.sys - Email-Worm.Win32.Zhelatin.sd (DrWEB: Trojan.Spambot.2569)
- c:\\windows\\system32\\burito3523-1c39.sys - Email-Worm.Win32.Zhelatin.sd (DrWEB: Trojan.Spambot.2569)
- c:\\windows\\system32\\burito7495-57dd.sys - Email-Worm.Win32.Zhelatin.sd (DrWEB: Trojan.Spambot.2569)
-