-
Junior Member
- Вес репутации
- 52
Trojan.PWS.Ibank + что-то еще?
Здравствуйте,
На прошлой неделе копьютер посетили трояны. Казалось, все ощищено (история здесь http://pchelpforum.ru/f26/t23731/#post190284 )
Но вчера обратил внимание на гиперактивность диска и непрерывную активность интернет-соединения. DrWeb CureIt в защищенном режиме выявил троян Trojan.PWS.Ibank на нескольких exe-шниках со случайными именами в \windows\system32.
Почитав, что делали люди раньше в таких ситуациях, стал смотреть. Обнаружился \Program Files\Common Files\keylog.txt, я его удалил.
В ветке реестра обнаружи подозрительные ключи:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft]
@=""
"m1131"="›ђЊЉ˜ЉЊЊС‘љ‹"
"m1132"="ќ–“ћ“›–‘–ђС‘љ‹"
"m1133"="Џђ‹ЉЊ–’ЊЊЊС‘љ‹"
"option_8"=dword:00012064
"option_4"=dword:0001247b
"option_1"="˜љЌќћ“ћ–™Сњђ’"
"option_2"="€—†›ћ››†Сќ–…"
"option_3"="ћЌЌ–‰–љЌ‹љЊСњђ’РЌ–—ЅљЉ™ѕ®ЄЖОИ§ћСЏ— Џ"
Удалил все, кроме option_8 и option_4.
Выполнил команду route -f, получил ответ "The route specified was not found".
Прошу помощи! Логи прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В логах нет ничего подозрительного.
Обновите базы AVZ.
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 52
Спасибо за отклик. Процедуру выполнил.
Файл сохранён как 100317_132242_virusinfo_files_VADIMS_4ba0ad720d1bc .zip
Размер файла 9013791
MD5 c5135c60238caf883e62c9af3a3ea9a1
Продублировал в: http://virusinfo.info/showthread.php?t=3519&page=313
-
Результат:
Сообщение от
CyberHelper
Архив 100317_132242_virusinfo_files_VADIMS_4ba0ad720d1bc .zip, загружен 17.03.2010 13:30:19, размер 9013791 байт
Всего файлов: 46 (исполняемых 44), из них:
зловреды или опасные объекты: 0
подозрительные: 0
-
-
Junior Member
- Вес репутации
- 52
Большое спасибо!
Если бы еще узнать откуда и как этот троян мог прийти...
-
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
-
-
Junior Member
- Вес репутации
- 52
Спасибо!
Выполнил скрипт, лог прилагаю.
Про обновление Internet Explorer и Adobe Reader понятно, сделаю. А что делать с Adobe Flash Player'ом?
-
Сообщение от
v119
А что делать с Adobe Flash Player'ом?
Обновлять.
-