-
Junior Member
- Вес репутации
- 56
Подозрение на троян Webmoney
Сегодня был заблокирован мой WMID по подозрению в перехвате трояном. Первым пунктом для разблокировки была тотальная проверка, в т.ч. ссылка на вирусинфо, если ничего не было найдено обычной проверкой антивируса.
Собирая данные для темы столкнулся с одной особенностью:
CureIt в безопасном режиме трижды зависал (или не зависал, но дальше не проверял, времени давал до 4 часов) на файле system32/drivers/wmilib.sys
в остальном всё как обычно. очень хочется увидеть комментарий команды вирусинфо. спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
DelCLSID('{5BBC6008-1D85-4C11-43AA-0F09350700ED}');
QuarantineFile('C:\SysFiles\aYC7ZCTMBQdt.dll','');
DeleteFile('C:\SysFiles\aYC7ZCTMBQdt.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 56
сделал. прикрепляю новый сбор инфы.
всё-таки троян был?
-
C:\SysFiles\aYC7ZCTMBQdt.dll - Trojan-Ransom.Win32.Hexzone.ali (Trojan.BrowseBan.252) судя по названию, это банер в браузере, который мешает просматривать сайты.
Думаю, это не причина блокировки WMID.
А тот троян, что был причиной, наверное, самоудалился. Сейчас в логе чисто, но не на долго. Безопасность компьютера хромает на обе ноги. Можете сами убедиться, выполнив в AVZ скрипт из файла ScanVuln.txt.
-
-
Сообщение от
Yury_md
CureIt в безопасном режиме трижды зависал (или не зависал, но дальше не проверял, времени давал до 4 часов) на файле system32/drivers/wmilib.sys
Советую перепровериться с промощью этого диска: http://www.freedrweb.com/livecd
-
-
Junior Member
- Вес репутации
- 56
спасибо вам! получил результаты скрипта, 6 критических уязвимостей, буду править.
буду рад ссылочке на талмуд по безопасности, который вы бы порекомендовали) может хоть частично сделаю
Добавлено через 1 минуту
Сообщение от
AndreyKa
тоже в безопасном режиме?
Последний раз редактировалось Yury_md; 02.05.2010 в 12:54.
Причина: Добавлено
-
Рекомендации после лечения или 10 заповедей для здоровья компьютера - http://virusinfo.info/showthread.php?t=30339
Сообщение от
Yury_md
тоже в безопасном режиме?
Нет, загрузив компьютер с этого диска.
-
-
Junior Member
- Вес репутации
- 56
спасибо за помощь! что в итоге: сделал всё что АВЗ советовал, теперь:
Поиск критических уязвимостей
Часто используемые уязвимости не обнаружены
Dr.web live CD и мышки с клавиатурой , которые не работают это отдельная история...
но проверял он систему 7 часов и сделал это процентов на 20. так что я остановил, больше ждать не мог.
бдительность и так всегда на уровне, так что буду писать в арбитраж WM.
как разлочат, смогу помочь проекту))
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\sysfiles\ayc7zctmbqdt.dll - Trojan-Ransom.Win32.Hexzone.ali ( DrWEB: Trojan.BrowseBan.252, NOD32: Win32/Agent.QLN trojan )
-