Приветствую, уважаемые форумчане!
Произошла такая неприятность - украли пароли от FTP сайтов из Total Commander'а. Проверился Avast'ом и CureIt, далее всё по инструкции, выкладываю логи.
Что мне делать дальше?
Троян, ворующий пароли из Total Commander
Приветствую, уважаемые форумчане!
Произошла такая неприятность - украли пароли от FTP сайтов из Total Commander'а. Проверился Avast'ом и CureIt, далее всё по инструкции, выкладываю логи.
Что мне делать дальше?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: (no name) - AutorunsDisabled - (no file) O4 - HKCU\..\Policies\Explorer\Run: [System Panel] C:\WINDOWS\system32\syspanel32.exe
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\mute2x.sys',''); QuarantineFile('C:\WINDOWS\system32\syspanel32.exe',''); DeleteFile('C:\WINDOWS\system32\syspanel32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи + сделайте лог МВАМ
Прикрепляю, карантин загрузил.
Удалите в МВАМ -
Выполните скрипт в АВЗ -Код:Зараженные ключи в реестре: HKEY_CLASSES_ROOT\focus.eprotocol (Trojan.BHO) -> No action taken. Зараженные файлы: C:\WINDOWS\Documents and Settings\Пользователь\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\Program Files\ProgDVB\Loader.exe',''); QuarantineFile('D:\Program Files\phunter\bin\phunter.exe',''); QuarantineFile('C:\Program Files\Image-Line\Toxic Biohazard\Toxic Biohazard.dll',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); end.
Карантин загрузил
У меня к Вам вопрос по файлам -
D:\Program Files\phunter\bin\phunter.exe
C:\Program Files\ProgDVB\Loader.exe - это вроде что-то со спутниковым ТВ связано
C:\Program Files\Image-Line\Toxic Biohazard\Toxic Biohazard.dll
Что Вам о них известно?
D:\Program Files\phunter\bin\phunter.exe
это было приложение pHunter, для обнаружения руткитов. Последние несколько месяцев почему-то не работает - вылетает с ошибкой при запуске;
C:\Program Files\ProgDVB\Loader.exe
это кряк для ProgDVB (просмотр спут. ТВ), тоже работает как-то криво;
C:\Program Files\Image-Line\Toxic Biohazard\Toxic Biohazard.dll
это VST-синтезатор, стоит с 2008 года, работает отлично, но всё это время на него через раз ругаются всевозможные программы защиты. Троянской активности от его имени вроде не наблюдается.
Тогда больше ничего плохого не вижу. Нужно поменять все пароли.
Добавлено через 25 минут
Настоятельно рекомендуется обновить -
Установите Internet Explorer 8 (даже если им не пользуетесь)
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Так же обновите C:\Program Files\Adobe\Acrobat 7.0 с официального сайта
Последний раз редактировалось olejah; 15.08.2010 в 00:36. Причина: Добавлено
Спасибо Вам за помощь.
Еще вопрос - что это за "обновление windows для удаления вредоносных программ"? Оно желательно или не очень?
Как минимум не повредит, это антивирусный сканер от MS, выпускается ежемесячно как обновление Windows, отрабатывает один раз после загрузки и успокаивается.
Емнип, будет потом лежать в system32 под именем MRT.exe
Когда была эпидемия Kido, эта штука нам здорово помогла: прописали в домене для всех компьютеров его выполнение при загрузке, побила тогда этих троянов немерено.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 14
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) SindBad, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
