Поймал банер, нет интернета

[Дмитрий П.]

Добрый день!

Несколько дней назад поймал на домашнем компе троян в виде банера, который предлагает отправить СМС на номер ... (таких случаев уже описано много).

По совету пользователей сайта изменил дату, через какое-то время банер исчез и больше не появлялся. НО:

1. пропал доступ к интернету (соединение с сетью есть, в настройках IE все проверил)

2. заблокирован диспетчер задач (при запуске выдается сообщение. что он заблокирован администратором).

Следуя инструкции на вашем сайте сделал все проверки, логи прилагаю.

Помогите пожалуйста убить заразу!

[PavelA]

Пока логов не вижу.

[Дмитрий П.]

Прикреплял, странно ...

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
 QuarantineFile('C:\Documents and Settings\Дима\Application Data\peekrvcu.exe','');
 DeleteFile('C:\Documents and Settings\Дима\Application Data\peekrvcu.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PC Health Status');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PC Health Status');
BC_ImportAll;
ExecuteSysClean;
Executerepair(11);
Executerepair(14);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

[Дмитрий П.]

Карантин закачал. Подтвердите пож.

[polword]

карантин закачан

Добавлено через 30 секунд

сделайте повторные логи

Добавлено через 2 минуты

p.s. ваш троян относится к семейству троянов, ворующих пароли пользователя - по-этому желательно поменять все свои пароли.

[Дмитрий П.]

Новые логи

[Шапельский Александр]

[QUOTE]Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления [/QUOTE]
Обновите базы АВЗ, переделайте логи.

[Дмитрий П.]

Т.к. интернета на этом компе нет, обновил базы на другом компе и переписал папку Base на инфицированный. Сейчас доработает проверка - пришлю логи.

К слову, после обновления баз какие-то файлы остались неизменными (дата последнего изменения - 21.08.2009). Это нормально?

[Шапельский Александр]

На чистом ПК обновите базы и всю папку (вместе с AVZ.exe) скопируйте на инфицированный.

[Дмитрий П.]

Обновил базы (все равно дата изменения некоторых файлов осталась 21.08.2009) и сделал проверки. Сканы прилагаю.

[Шапельский Александр]

Обновил базы (все равно дата изменения некоторых файлов осталась 21.08.2009)

Вроде все ОК, т.к.

Загружена база: сигнатуры - 268108, нейропрофили - 2, микропрограммы лечения - 56, база от 21.03.2010 21:48

В логах чисто, что с проблемой?

p.s. ваш троян относится к семейству троянов, ворующих пароли пользователя - по-этому желательно поменять все свои пароли.

Обязательно поменяйте пароли.

[Дмитрий П.]

Спасибо, все заработало!

Почему-то в настройках TCP были явно прописаны какие-то IP, шлюз и т.д. Переключил на автоматическое получение IP и все заработало.

Возможно троян изменил настройки ...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\дима\application data\peekrvcu.exe - Trojan-PSW.Win32.LdPinch.amos ( DrWEB: Trojan.Packed.19771, BitDefender: Gen:Heur.Krypt.22, AVAST4: Win32:Malware-gen )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !