Решена Был обнаружен Trojan.PWS.Panda.217

Статус
В этой теме нельзя размещать новые ответы.

Alex1983

Разработчик
Сообщения
1,145
Реакции
243
При работе был обнаружен вирус Trojan.PWS.Panda.217. После удаления сделал скрипт AVZ [begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
ExecuteRepair(6);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.] Взятый из интернета С какогота сайта[ по глупости].
Сегодня опять DrWeb его нашел в папке TEMP. При полной проверке ни чего не обнаружелось.
 
Скрипты прилогаются.
 
Последнее редактирование:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Program Files\plugin.exe','');
 DeleteFile('C:\Program Files\plugin.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно этих правил


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Повторите логи.
 
Лог Malwarebytes [Malwarebytes' Anti-Malware 1.44
Версия базы данных: 3576
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

16.01.2010 21:07:12
mbam-log-2010-01-16 (21-07-12).txt

Тип проверки: Полная (C:\|)
Проверено объектов: 116949
Прошло времени: 6 minute(s), 59 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 6
Заражено значений реестра: 1
Заражено параметров реестра: 3
Заражено папок: 1
Заражено файлов: 5

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражено папок:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Заражено файлов:
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> Quarantined and deleted successfully.
C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS\innounp.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.]
 
Карантин AVZ
 
Последнее редактирование:
В карантин ничего не попало.

Добавлено через 29 секунд
Пароли не забудьте сменить.
 
Что это может означать.

Добавлено через 1 минуту 8 секунд
Начто пароли сменить, т.е. чего пороли?
 
Все пароли которые являются критичными для вас. Почта, банковские системы, он-лайн игры и т.д.

И я жду повтор логов.
 
Если я не храню в компе пароли их тоже менять?
 
Логи
 
Последнее редактирование:
Что с проблемой?

Если я не храню в компе пароли их тоже менять?
Только те, которые использовали во время заражения.
 
Проблем вроде бы ни каких.
Хотелось узнать полностью удалил или нет этот вирус?
 
Следы почистили.
 
Это вопрос или ответ? На счет следов.
P.S. Когда будет результат по зачислению?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу