-
Junior Member
- Вес репутации
- 57
Trojan.Iframe(забавы с services)
Zдравствуйте!Каким-то образом словил со своего же сайта эту дрянь.Антивир сайта молчал.Был в скрипте в Index.html . Dr.web удалил успешно инфицированный архив.Но теперь забавляет процесс services - никак не вылазит из автозагрузки,иногда пытается подсосать с нета нечто и долбит флопик. Высылаю логи и карантин.
Последний раз редактировалось ZAP!; 27.04.2009 в 19:59.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteService('ethsayfw');
QuarantineFile('C:\WINDOWS\system32\drivers\ethsayfw.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\ehfspdcu.sys','');
DeleteFile('\??\C:\WINDOWS\system32\drivers\ehfspdcu.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ethsayfw.sys');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
ExecuteRepair(9);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось ZAP!; 27.04.2009 в 19:59.
-
userinit.exe-Trojan-Dropper.Win32.Agent.ahnl его нужно заменить на чистый из дистрибутива...
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{02478D38-C3F9-4EFB-9B51-7695ECA05670}');
DeleteService('mpwjtrqaurnwumr');
DeleteFile('C:\WINDOWS\system32\drivers\ehfspdcu.sys');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('digeste.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('mpwjtrqaurnwumr');
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось ZAP!; 27.04.2009 в 19:59.
-
Пофиксить
Код:
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe
O16 - DPF: {87BE3784-6977-4E84-AA08-55A96B9CEAC5} -
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} -
Повторите пункт 2 диагностики...
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось ZAP!; 27.04.2009 в 19:59.
-
Spybot - деинсталировать...
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 57
Карантин выслал.Вот логи:
Последний раз редактировалось ZAP!; 27.04.2009 в 19:59.
-
-
-
Junior Member
- Вес репутации
- 57
Всем очередной раZ огромное СПАСИБО! = )
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\microsoft common\svchost.exe - Worm.Win32.AutoRun.faw (DrWEB: Trojan.Packed.393)
- c:\windows\system32\digeste.dll - Trojan.Win32.Agent.bspx (DrWEB: Trojan.Inject.5512)
- c:\windows\system32\drivers\ehfspdcu.sys - Rootkit.Win32.Pakes.mm
- c:\windows\system32\drivers\ethsayfw.sys - Backdoor.Win32.IEbooot.ro
- c:\windows\system32\twext.exe - Trojan-Spy.Win32.Zbot.nkc (DrWEB: Trojan.PWS.Panda.30)
- c:\windows\system32\userinit.exe - Trojan-Dropper.Win32.Agent.ahnl (DrWEB: Trojan.DownLoad.26770)
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-