В работе - Коротко и ясно: trojan.win32.ddox.ci

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем tasolov, 30 июн 2011.

  1. tasolov

    tasolov Newbie

  2. Nod

    Nod Moderator

    Анализирую логи, ждите..
     
  3. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    Езвестны ли Вам следующие файлы:
    Domain = reb.kbreb.ru Известен ли вам этот домен?\
    КлиентБанки вы устанавливали?

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     StopService('catchme');
     StopService('BORWP Service');
     QuarantineFile('D:\System Volume Information\_restore{EE05480C-690A-48AA-BB40-262127B29C0A}\RP312\A0080729.exe','');
     QuarantineFile('C:\DOCUME~1\SHEVEL~1\LOCALS~1\Temp\jyqzw.exe','');
     QuarantineFile('C:\DOCUME~1\SHEVEL~1\LOCALS~1\Temp\catchme.sys','');
     QuarantineFile('d:\borwp\obj\borwpSrv.exe','');
     DeleteFile('C:\WINDOWS\system32\rtazvfn.dll');
     DeleteFile('d:\borwp\obj\borwpSrv.exe');
     DeleteFile('C:\DOCUME~1\SHEVEL~1\LOCALS~1\Temp\catchme.sys');
     DeleteFile('C:\DOCUME~1\SHEVEL~1\LOCALS~1\Temp\jyqzw.exe');
     DeleteFile('D:\System Volume Information\_restore{EE05480C-690A-48AA-BB40-262127B29C0A}\RP312\A0080729.exe');
     DeleteService('catchme');
     DeleteService('BORWP Service');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    
    В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    O23 - Service: Windows Update Viewer (UpdateSrv) - Unknown owner - C:\WINDOWS\system32\RDPLicense\svchost.exe (file missing)
    O20 - AppInit_DLLs: C:\WINDOWS\system32\rtazvfn.dll
    
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

    Поскольку версия вашего браузера Internet Explorer устарела, официально не поддерживается и имеет множество критических уязвимостей, Обязательно обновите браузер до последней версии Internet Explorer 8, после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
    - По тем же причинам, необходимо обновить "Service Pack 2" до Service Pack 3
    - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
     
  4. tasolov

    tasolov Newbie

    d:\tmp\Новая папка мне известна, это загрузочная дискета какого-то Виндоуза (какого - пока не знаю, но с Вистой она не работала). Клиент-банк у меня стоит, и домен REB.KBREB.RU я знаю: я логинюсь в него. Сканирование AVZ, однако, выполнялось в безопасном режиме с отключением от сети, под локальным админом.
     
  5. tasolov

    tasolov Newbie

    Результат проверки

    VIPRE 9729 2011.06.30 Trojan.Win32.Packer.Upack0.3.9 (ep)

    Остальные антифирусы ничего не нашли.
     
  6. Nod

    Nod Moderator

    выполняйте дальше, 5 и 6 пункты.
     

Поделиться этой страницей