-
Junior Member
- Вес репутации
- 51
Последствие действия вируса Trojan.PWS.Ibank.39
Доброго времени суток!
Проблема заключается в том, что не могу зайти на антивирусные сайты, а также на некоторые другие сайты.После сканирования утилитой Cureit в безопасном режиме был найден вирус Trojan.PWS.Ibank.39, а также еще какой-то Trojan.Download (какой точно не помню). Вирус был удален (по крайней мере файлы которые он наплодил), но проблема осталась - на сайты не заходит. После сканирования правил еще немного реестр:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\Windows\system32\userinit.exe," после запятой было дописаны ссылки еще на два файла, котрые удалил кюрейт, они были удалены, но проблема осталась.
Помогите, пожалуйста, разобраться.
Необходимые логи во вложении.
Заранее, спасибо.
P.S. Первый раз AVZ сканил со старыми базами, так как базы не хотели обновляться с зараженной машины. Но потом обновил базы на другой машине и пересканил AVZ заново. Во вложении логи после обновления баз. Возможно там немного другая информация, если Вам будет нужно лог с первого сканирования до обновления баз, то пишите, я отправлю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\DeviceLockDriver0.SYS','');
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
QuarantineFile('C:\DOCUME~1\Y_MAZU~1\LOCALS~1\Temp\b.exe','');
QuarantineFile('C:\WINDOWS\system32\netprovcredman.dll','');
QuarantineFile('C:\Temp\Lineage_la2world\System\npkcrypt.sys','');
DeleteFile('C:\DOCUME~1\Y_MAZU~1\LOCALS~1\Temp\b.exe');
DeleteFile('C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
Сделал. Необходимые файлы во вложении.
-
эта программа вам знакома - C:\WINDOWS\system32\cmdow.exe?
Если нет, выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\cmdow.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
в остальном чисто
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
- Проведите процедуру, которая описана в первом сообщении тут.
-
-
Junior Member
- Вес репутации
- 51
Вчера после выполнения первых скриптов и перезагрузки компа, та же проблема осталась. Тогда я еще раз поставил кюрейт на ночь на полную проверку, но он ничего не нашел. После этого я еще почистил вручную все темпы и корзины (все системные и во всех юзер профайлах), перезагрузил комп и все заработало.
С файлом cmdow.exe ничего не делал. Это не вирус (это улитита для управление окнами Windows из консоли), хотя некоторые антивирусы на этот файл ругаются.
Скорее всего еще что-то лежало в темпах, хотя странно, что кюрейт ничего не заметил.
Большое спасибо за помощь!!!
Особенно порадовала Ваша оперативность!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows
-