• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Был обнаружен Trojan.PWS.Panda.217

Статус
В этой теме нельзя размещать новые ответы.

Alex1983

Разработчик
Сообщения
913
Симпатии
442
#1
При работе был обнаружен вирус Trojan.PWS.Panda.217. После удаления сделал скрипт AVZ [begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
ExecuteRepair(6);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.] Взятый из интернета С какогота сайта[ по глупости].
Сегодня опять DrWeb его нашел в папке TEMP. При полной проверке ни чего не обнаружелось.
 

Alex1983

Разработчик
Сообщения
913
Симпатии
442
#2
Скрипты прилогаются.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
14,948
Симпатии
12,239
#3
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Program Files\plugin.exe','');
 DeleteFile('C:\Program Files\plugin.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно этих правил


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Повторите логи.
 

Alex1983

Разработчик
Сообщения
913
Симпатии
442
#4
Лог Malwarebytes [Malwarebytes' Anti-Malware 1.44
Версия базы данных: 3576
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

16.01.2010 21:07:12
mbam-log-2010-01-16 (21-07-12).txt

Тип проверки: Полная (C:\|)
Проверено объектов: 116949
Прошло времени: 6 minute(s), 59 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 6
Заражено значений реестра: 1
Заражено параметров реестра: 3
Заражено папок: 1
Заражено файлов: 5

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражено папок:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Заражено файлов:
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> Quarantined and deleted successfully.
C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS\innounp.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.]
 

akok

Команда форума
Администратор
Сообщения
14,948
Симпатии
12,239
#6
В карантин ничего не попало.

Добавлено через 29 секунд
Пароли не забудьте сменить.
 

Alex1983

Разработчик
Сообщения
913
Симпатии
442
#7
Что это может означать.

Добавлено через 1 минуту 8 секунд
Начто пароли сменить, т.е. чего пороли?
 

akok

Команда форума
Администратор
Сообщения
14,948
Симпатии
12,239
#8
Все пароли которые являются критичными для вас. Почта, банковские системы, он-лайн игры и т.д.

И я жду повтор логов.
 

Alex1983

Разработчик
Сообщения
913
Симпатии
442
#10
Логи
 
Последнее редактирование:

Alex1983

Разработчик
Сообщения
913
Симпатии
442
#12
Проблем вроде бы ни каких.
Хотелось узнать полностью удалил или нет этот вирус?
 

akok

Команда форума
Администратор
Сообщения
14,948
Симпатии
12,239
#13
Следы почистили.
 

Alex1983

Разработчик
Сообщения
913
Симпатии
442
#14
Это вопрос или ответ? На счет следов.
P.S. Когда будет результат по зачислению?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу