Trojan.PWS.Ibank + что-то еще?

**v119** · 17.03.2010, 12:11

Здравствуйте,

На прошлой неделе копьютер посетили трояны. Казалось, все ощищено (история здесь http://pchelpforum.ru/f26/t23731/#post190284 )
Но вчера обратил внимание на гиперактивность диска и непрерывную активность интернет-соединения. DrWeb CureIt в защищенном режиме выявил троян Trojan.PWS.Ibank на нескольких exe-шниках со случайными именами в \windows\system32.

Почитав, что делали люди раньше в таких ситуациях, стал смотреть. Обнаружился \Program Files\Common Files\keylog.txt, я его удалил.

В ветке реестра обнаружи подозрительные ключи:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft]
@=""
"m1131"="›ђЊЉ˜ЉЊЊС‘љ‹"
"m1132"="ќ–“ћ“›–‘–ђС‘љ‹"
"m1133"="Џђ‹ЉЊ–’ЊЊЊС‘љ‹"
"option_8"=dword:00012064
"option_4"=dword:0001247b
"option_1"="˜љЌќћ“ћ–™Сњђ’"
"option_2"="€—†›ћ››†Сќ–…"
"option_3"="ћЌЌ–‰–љЌ‹љЊСњђ’РЌ–—ЅљЉ™ѕ®ЄЖОИ§ћСЏ— Џ"

Удалил все, кроме option_8 и option_4.

Выполнил команду route -f, получил ответ "The route specified was not found".

Прошу помощи! Логи прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**AndreyKa** · 17.03.2010, 12:24

В логах нет ничего подозрительного.
Обновите базы AVZ.
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519

**v119** · 17.03.2010, 13:26

Спасибо за отклик. Процедуру выполнил.

Файл сохранён как 100317_132242_virusinfo_files_VADIMS_4ba0ad720d1bc .zip
Размер файла 9013791
MD5 c5135c60238caf883e62c9af3a3ea9a1

Продублировал в: http://virusinfo.info/showthread.php?t=3519&page=313

**AndreyKa** · 17.03.2010, 15:04

Результат:

Сообщение от CyberHelper

Архив 100317_132242_virusinfo_files_VADIMS_4ba0ad720d1bc .zip, загружен 17.03.2010 13:30:19, размер 9013791 байт
Всего файлов: 46 (исполняемых 44), из них:
зловреды или опасные объекты: 0
подозрительные: 0

**v119** · 17.03.2010, 15:16

Большое спасибо!
Если бы еще узнать откуда и как этот троян мог прийти...

**AndreyKa** · 17.03.2010, 15:20

Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.

Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.

**v119** · 17.03.2010, 15:42

Спасибо!
Выполнил скрипт, лог прилагаю.

Про обновление Internet Explorer и Adobe Reader понятно, сделаю. А что делать с Adobe Flash Player'ом?

**AndreyKa** · 17.03.2010, 17:42

Сообщение от v119

А что делать с Adobe Flash Player'ом?

Обновлять.

Trojan.PWS.Ibank + что-то еще? (заявка № 73805)

Опции темы

Trojan.PWS.Ibank + что-то еще?

Похожие темы

trojan.pws.ibank.39

Trojan.PWS.Ibank.38

trojan.pws.ibank.28

Обнаружены Trojan.PWS.IBank.25 и Trojan.Packed.19740

Ищу описание Trojan.Win32.Scar.Btuw, Trojan.MulDrop, Trojan.Siggen1, Trojan.PWS.Ibank

Ваши права в разделе