-
Junior Member
- Вес репутации
- 51
троян, пытающийся получить доступ к WM ID
Здравствуйте специалисты virusinfo.info и специалисты, которые помогут решить проблему!
На прошлой неделе администрация webmoney заблокировала проведение операций по WebMoney ID, всвязи с попытками программы трояна получить несанкционированный доступ к моему WM ID.
На компьютере последние полтора года установлен антивирус Avast. Avast во время обычной проверки вирусов не обнаруживает. Однако при проведении проверки Ad-Aware SE Personal-ом Avast ловит
C:\DOCUME~1\AKord\LOCALS~1\Temp\AAWTMP\C32207375\2 2CACF\eclsxp21.exe
Win32:Malware-gen
При удалении этого файла, папки начинают бегать и менять названия, а иногда сама папка AAWTMP исчезает из папки Temp.
Так же постоянно показывает в наличие Win32.Toolbar.LanguageBar
...software\microsoft\internet explorer\urlsearchhooks "{ca3e.......
Вот восновном всё. Вчера проверил dr.web cureit - ничего подозрительного не обнаруживает. Вчера так же пролечил и сегодня повторил проверку прогой Virus Removal Tool. Нашёл 16 случев, восновном старые кряки к програмам и файлы типа:
C:\System Volume Information\_restore{9B508C34-EA55-4E48-8976-DFAD95C1C659}\RP508\A0125362.exe
C:\System Volume Information\_restore{9B508C34-EA55-4E48-8976-DFAD95C1C659}\RP508\A0125364.exe
E:\System Volume Information\_restore{9B508C34-EA55-4E48-8976-DFAD95C1C659}\RP508\A0125396.exe
F:\System Volume Information\_restore{9B508C34-EA55-4E48-8976-DFAD95C1C659}\RP508\A0125400.exe
Посоветуйте пожалуйста какие меры мне нужно предпринять чтобы избавиться от этой беды.
Надеюсь на помощь!
Спасибо.
С уважением,
Александр
Последний раз редактировалось Akor; 13.07.2010 в 20:38.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O20 - AppInit_DLLs:
2. Выполните скрипт в AVZ
Код:
begin
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
-
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
polword
1.Профиксите в HijackThis
как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O20 - AppInit_DLLs:
2.
Выполните скрипт в AVZ
Код:
begin
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по
правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Ок. выполнил. Единственно когда профиксил в HiJackThis вылезла в конце ошибка (прикрепляю скрин HJT.jpg)
-
Junior Member
- Вес репутации
- 51
-
Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
Больше подозрительного нет.
- Проведите процедуру, которая описана в первом сообщении тут.
-
-
Junior Member
- Вес репутации
- 51
Провёл. Спасибо!
Добавлено через 2 часа 45 минут
Проверил опять Ad-Aware SE Personal и опять на том же месте выловился
Win32:Malware-gen вирус/червь, версия 100713-1, 13.07.2010
C:\DOCUME~1\AKord\LOCALS~1\Temp\AAWTMP\C6911656\27 06B2\eclsxp21.exe
Последний раз редактировалось Akor; 14.07.2010 в 10:46.
Причина: Добавлено
-
- Сделайте лог MBAM
Добавлено через 7 минут
- Очистите темп-папки, кэш проводников
Последний раз редактировалось polword; 14.07.2010 в 10:56.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
При быстром сканированиии
-
Junior Member
- Вес репутации
- 51
-
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Progr_.dll ','');
QuarantineFile('C:\Program Files\ICQToolbar\toolbaru.dll ','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 51
-
-
-
Junior Member
- Вес репутации
- 51
Загружаю. Пишется "Ошибка загрузки. Данный файл уже был загружен"
quarantine.zip образовался, но папка пустая
-
-
-
Junior Member
- Вес репутации
- 51
Файл сохранён как 100715_073009_Quarantine__4c3e80c101b30.zip
Размер файла 310
MD5 f5a4df44fc5a6d3dff8475e9f9739fc3
Но архив с карантинами всё-равно, насколько я вижу, пустой
Добавлено через 1 час 33 минуты
может карантин из МBAM прислать?
Последний раз редактировалось Akor; 15.07.2010 в 09:05.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 51
Сорри, за офлайн.
Рolword, как дальше поступить c лечением?
Спасибо
-
-
-
Junior Member
- Вес репутации
- 51
Да, есть частично теже проблемы. Почти на сутки у провайдера был форс-мажор, инет не работал. Всё излечилось. Подключил - опять eclsxp21.exe во время проверки Ad-Aware SE Personal вылезла и начала "прыгать".
И из прикреплённых файлов посмотрите пожалуйста, что можно и нужно удалить из карантина MBAM, неповредив систему?