Решена - троян Win32/Spy.Banker.ZNX как удалить?

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Max_fisher, 31 июл 2013.

  1. Max_fisher

    Max_fisher Junior User

  2. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Здравствуйте!

    Как давно клиент-банком пользуетесь?
    C:\DOCUMENTS AND SETTINGS\АДМИН\APPLICATION DATA\IBANK2\AGENT.EXE

    Выполните следующий скрипт в uVS:
    - запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
    - копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
    Код:
    ;;uVS v3.80.13 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИН\APPLICATION DATA\IBANK2\AGENT.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\GYCIR.EXE
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИН\APPLICATION DATA\IBANK2\AGENT.EXE
    delall %Sys32%\XTGINA.DLL
    regt 12
    ; Java(TM) 6 Update 31
    exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet
    deltmp
    delnfr
    regt 14
    czoo
    restart
    - затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
    - скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
    - обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
    - ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
    - по окончанию выполнения скрипта компьютер перезагрузится.
    - в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, залейте его на rghost.ru и дайте ссылку
    - после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
     
  3. Max_fisher

    Max_fisher Junior User

    Спасибо!

    Довольно давно, несколько лет. Вроде бы прецедентов никаких не было.

    ZOO: http://rghost.ru/47820713
    MBAM: http://rghost.ru/47820817
     
  4. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    про кейлоггер MPК вы в курсе? если нет, то удаляйте все найденное и перезагружайтесь
    затем сделайте лог AdwCleaner
    http://forum.esetnod32.ru/forum9/topic7084/
     
  5. Max_fisher

    Max_fisher Junior User

  6. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    а кто устанавливал?
     
  7. Max_fisher

    Max_fisher Junior User

    Это к сожалению не при мне было. Т.к. банки крайне редко выезжают на установку клиент-банка, то скорее всего ставил кто-то из бухгалтеров под руководством инженера банка (по телефону).
     
  8. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    ну похоже это уже не клиент-банк, а зловред.
    так что не запускайте его, а лучше удалите от греха подальше.
    позвоните в банк, уточните какая программа сейчас актуальна.
    также рекомендую сменить пароли свои банковские

    Если проблема решена, то:
    При наличии на ПК доступа в интернет выполните следующий скрипт в AVZ:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

    Если форум оказался полезен вам, пожалуйста, поддержите его работу -
     
  9. Max_fisher

    Max_fisher Junior User

    Хорошо, большое спасибо - завтра постараюсь сделать всё по вашим рекомендациям!
     
  10. Max_fisher

    Max_fisher Junior User

    Все обновления поставил.
    Nod молчит, вроде всё чисто. СПАСИБО!
     

Поделиться этой страницей