Доктор определил и удалил следующий наборчик:
Trojan.PWS.LDPinch.1941
Trojan.Proxy.3111
BackDoor.Bambalam
Trojan.DownLoader.56870
Exploit.IFrame
Логи прилагаю.
Доктор определил и удалил следующий наборчик:
Trojan.PWS.LDPinch.1941
Trojan.Proxy.3111
BackDoor.Bambalam
Trojan.DownLoader.56870
Exploit.IFrame
Логи прилагаю.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: Gamburg provider - {FFFFFFFF-D71D-41e4-A699-F506DBD097F0} - msindc.dll (file missing) O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [System] c:\windows\lsass.exe
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\lsass.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\ctfmona.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys',''); QuarantineFile('C:\WINDOWS\system32\msindc.dll',''); DeleteFile('C:\WINDOWS\system32\msindc.dll'); DeleteFile('C:\WINDOWS\system32\ctfmona.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('c:\windows\lsass.exe'); DelBHO('{FFFFFFFF-D71D-41e4-A699-F506DBD097F0}'); BC_ImportALL; ExecuteSysClean; BC_Activate; end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=22027).
Сделайте новые логи.
I am not young enough to know everything...
Карантин закачал, логи прилагаю. Компьютер сам не перегрузился после выполнения скрипта, перегрузил вручную. И в карантин не все попало...
В карантине ntos.exe - Trojan-Spy.Win32.Zbot.bbi,
msindc.dll - Trojan-Spy.Win32.Banker.kqe по поводу NDIS.sys - подождём ответа аналитиков. Тем временем
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\tcpip.sys',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22027
C:\Documents and Settings\Администратор\Рабочий стол\tcpip.sys - этот файл чистый все забываю его удалить оттуда после давнего лечения...
NDIS.sys
Вредоносный код в файле не обнаружен.
Пароли придется менять, ПИНЧА схватил.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
это отосится и к паролю на вход в виндовс?
это относится ко всем паролям ....
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\msindc.dll - Trojan-Banker.Win32.Banker.kqe (DrWEB: Trojan.PWS.Finanz.197)
- c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.bbi (DrWEB: Trojan.Packed.511)
Уважаемый(ая) Rogoff, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.