всем привет
открыл вчера троян, который просит 25 гривен или 10 WMZ - вроде тут знают что это такое..
прилагаю логи, подскажите что делать
заранее благодарен
всем привет
открыл вчера троян, который просит 25 гривен или 10 WMZ - вроде тут знают что это такое..
прилагаю логи, подскажите что делать
заранее благодарен
AVZ
HiJackthisВнимание !!! База поcледний раз обновлялась 23.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Пожалуйста повторите логи, обновив базы АВЗ и скачав последнюю версию Хайджека.Logfile of HijackThis v1.99.1
Читайте правила, там и ссылки имеются.
хайджек обновил и прилагаю новый лог
а вот менюшка по обновлению АВЗ у меня не активная - прилагаю принтскрин
Скачайте отсюда и распакуйте в папку BASE
видимо троян мне уже что-то испортил - извлечи файлы из архива не получается - сбоит
и в эксплоурере стал в шапке окна писать матом...
может попробуете по старой версии AVZ что-нибудь прописать?
Скачайте вот этот авз. базы не обновляйте. Сделайте им логи по правилам. http://rapidshare.com/files/116950728/IEXPLORE.EXE.html
посмотрите вот на это:
, но прилагаю еще раз
.... странно, что-то не прилагается больше...
АВЗ -Мастер поиска и устранения проблем выбрать все -устранить ...
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin QuarantineFile('C:\Program Files\Informatic\Context 6.0\CWHOOK32.dll',''); QuarantineFile('C:\Documents and Settings\AMorozov\Application Data\rambler.ru\toolbar\mail.mp3',''); QuarantineFile('C:\Documents and Settings\AMorozov\Local Settings\Temp\rl2mn1xl.exe',''); QuarantineFile('C:\WINDOWS\WinSxS\Manifests\explorer.exe',''); QuarantineFile('C:\WINDOWS\Provisioning\Schemas\lsass.exe',''); QuarantineFile('C:\WINDOWS\Installer\{6DC47739-3BB0-4494-A43D-193BF54070AE}\Icon3E5562ED7.ico',''); end.
только не знаю куда он попал....
надо еще раз загружать?
Последний раз редактировалось morozov1977; 04.06.2008 в 21:03. Причина: непонятки...
C:\Documents and Settings\AMorozov\Local Settings\Temp\rl2mn1xl.exe Trojan.Win32.Krotten.gl
C:\WINDOWS\Provisioning\Schemas\lsass.exe Trojan.Win32.Krotten.gl
C:\WINDOWS\WinSxS\Manifests\explorer.exe Trojan.Win32.Krotten.gl
выполните скрипт ...
повторите логи ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\Documents and Settings\AMorozov\Local Settings\Temp\rl2mn1xl.exe '); DeleteFile('C:\WINDOWS\Provisioning\Schemas\lsass.exe'); DeleteFile('C:\WINDOWS\WinSxS\Manifests\explorer.exe '); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
блин, при работе АВЗ комп перезагрузился и с рабочего стола вообще все ищезло... вместо часов теперь написано матом...
что за 3 ссылки вы написали сверху я не знаю...
что делать-то?
Последний раз редактировалось pig; 05.06.2008 в 01:24. Причина: литературное редактирование
так у мня теперь авз не запускается - блокировка всплывающих окон....
хотя нет. запустил...
после перезагрузки
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\?i??o?s Desкtор S??r?h.lnk',''); QuarantineFile('C:\Documents and Settings\AMorozov\Рабочий стол\IEXPLORE.EXE',''); DeleteFile('C:\Documents and Settings\AMorozov\Рабочий стол\IEXPLORE.EXE'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите virusinfo_syscheck.zip
Ответ лаба:
A0054484.exe_ - Trojan.Win32.Krotten.gl
Для того, чтобы избавиться от результатов работы этого трояна Вам необходимо загрузить бесплатную утилиту для лечения Trojan.Win32.Krotten с адреса
http://www.kaspersky.ru/removaltools и запустить её. Если это не поможет, то в следующее обновление утилиты будет включено лечение для Вашей версии трояна.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\amorozov\\local settings\\temp\\rl2mn1xl.exe - Trojan-Ransom.Win32.Krotten.gl (DrWEB: Trojan.Plastix.113)
- c:\\system volume information\\_restore{f5e1510d-731d-4fa3-a3f4-8f7c79ae8d32}\\rp414\\a0054484.exe - Trojan-Ransom.Win32.Krotten.gl (DrWEB: Trojan.Plastix.113)
- c:\\windows\\provisioning\\schemas\\lsass.exe - Trojan-Ransom.Win32.Krotten.gl (DrWEB: Trojan.Plastix.113)
- c:\\windows\\winsxs\\manifests\\explorer.exe - Trojan-Ransom.Win32.Krotten.gl (DrWEB: Trojan.Plastix.113)
Уважаемый(ая) morozov1977, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.