заразился Trojan-PSW.Win32.LdPinch.zie, помогите убить

**Konst777** · 02.07.2009, 18:22

ОС Microsoft Windows XP Professional ver.2002 SP2
антивирус ESET NOD32 v. 3.0.669.0
После посещения http//www.klgtu.ru система восстановления предложила восстановить измененные системные файлы, NOD в молчании, стандартный поиск WinXP свежеизмененных файлов *.exe, *.sys, *.dll показал наличие новеньких:
С:\Program Files\Microsoft Common\svchost.exe - размером 36к
C:\Windows\Temp\rdl58C.tmp.exe - размером 41к
C:\Windows\Temp\rdl59C.tmp.exe - размером 33к и библиотеки, видимо IE
C:\Windows\system32\msvcrt57.dll - размером 33к

Результат проверки на http://www.kaspersky.ru/scanforvirus :
Проверенный файл: вирусяки.rar - подозрение на вирус
вирусяки.rar/svchost.exe - в порядке
вирусяки.rar/rdl59F.tmp.exe - подозрение на вирус Trojan-PSW.Win32.LdPinch.zie
вирусяки.rar/rdl58C.tmp.exe - в порядке
вирусяки.rar/msvcrt57.dll - в порядке
вирусяки.rar - подозрение на вирус Trojan-PSW.Win32.LdPinch.zie

Не стал мудрствовать и сделал логи AVZ, HijackThis в соответствии с правилами.

После всего, на данный момент, тормозит IE при открытии каждого нового окна секунд на 30-40. Видимо за это время пробивается на удаленные машины за кусками себя или за другими бяками, т.к. IMON NODa отловил и прекратил попытку связи с http//our1s.com/new/3.exe , сообщив, что последний - variant of Win32/Agent.PHC.trojan

Буквально через полминуты получил сообщение от 16-разрядной подсистемы MS-DOS:

C:\WINDOWS\TEMP\RDL18A~1.EXE
процессор NTVDM обнаружил недопустимую инструкцию
CS:06df IP:fffe OP:ff ff 00 00 00 для завершения работы приложения нажмите кнопку закрыть.

Не закрыл, пропустил ...
Очень надеюсь на помощь, чувствую машина гибнет на глазах!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**DefesT** · 02.07.2009, 18:32

Активную ссылку уберите!!!
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\SYSTEM32\antiwpa.dll','');
 QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
 DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
 DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
SetAVZPMStatus(true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузиться!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
Сделайте новые логи по правилам

**Konst777** · 02.07.2009, 20:01

Большое спасибо DefesT!
За активную ссылку на гадость прошу пардон, зациклило.
Все рекомендации выполнил. карантин выслал. Прикладываю новые логи.
Пока вроде ничего, только какое-то железо отвалилось в системе, ну это мелочи...

**DefesT** · 02.07.2009, 20:15

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\drivers\svchost.exe');
 QuarantineFile('c:\windows\system32\drivers\svchost.exe','');
 DelCLSID('E6FB5E20-DE35-11CF-9C87-00AA005127ED');
 DeleteFile('c:\windows\system32\drivers\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузиться!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам virusinfo_syscheck.zip и hijackthis.log

**Konst777** · 02.07.2009, 20:57

Спасибо большое!
К сожалению, машину уже увижу только завтра и соответственно попытаюсь с Вашей помощью оживить дальше

**Konst777** · 03.07.2009, 10:41

Выполнил все в соответствии с рекомендациями. Прикрепляю запрошенные Вами логи

**DefesT** · 03.07.2009, 10:50

В логах ничего плохого не вижу.
Советую установить Service Pack 3 с последними обновлениями (может потребоваться активация!!!)
Также можно обновить Adobe Acrobat, Internet Explorer.
Что с проблемой?

**Konst777** · 03.07.2009, 11:02

Спасибо большое за помощь! все ОК! ненормальной активности нет, тормоза прекратились. Считаем проблема решена!

**CyberHelper** · 04.07.2009, 11:02

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 9
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\microsoft common\svchost.exe - Worm.Win32.AutoRun.aqyr
2. c:\windows\system32\msvcrt57.dll - Trojan-PSW.Win32.WebMoner.gu ( DrWEB: Trojan.DownLoad.5244 )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

заразился Trojan-PSW.Win32.LdPinch.zie, помогите убить (заявка № 49168)

Опции темы

заразился Trojan-PSW.Win32.LdPinch.zie, помогите убить

Итог лечения

Похожие темы

помогите убить Trojan.Win32.Ddox.ci

SOS! ПОмогите с вирусами msvmiode.exe,cfdrive32.exe,Trojan-PSW.Win32.LdPinch,Trojan.Inject. Trojan.AVKill.

Помогите убить runtime2.sys (Trojan.Win32.Agent.jp)

Trojan-PSW.Win32.LdPinch.vnn+Trojan-PSW.Win32.LdPinch.vov - разобраться что именно успел/не успел передать

Народ помогите C:\cTv1rPUk.exe >>>>> Trojan-PSW.Win32.LdPinch.cam

Ваши права в разделе