• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Был обнаружен Trojan.PWS.Panda.217

Статус
В этой теме нельзя размещать новые ответы.

Alex1983

Разработчик
Сообщения
920
Реакции
444
Баллы
488
При работе был обнаружен вирус Trojan.PWS.Panda.217. После удаления сделал скрипт AVZ [begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
ExecuteRepair(6);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.] Взятый из интернета С какогота сайта[ по глупости].
Сегодня опять DrWeb его нашел в папке TEMP. При полной проверке ни чего не обнаружелось.
 

Alex1983

Разработчик
Сообщения
920
Реакции
444
Баллы
488
Скрипты прилогаются.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,583
Реакции
13,427
Баллы
2,203
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Program Files\plugin.exe','');
 DeleteFile('C:\Program Files\plugin.exe');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно этих правил


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Повторите логи.
 

Alex1983

Разработчик
Сообщения
920
Реакции
444
Баллы
488
Лог Malwarebytes [Malwarebytes' Anti-Malware 1.44
Версия базы данных: 3576
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

16.01.2010 21:07:12
mbam-log-2010-01-16 (21-07-12).txt

Тип проверки: Полная (C:\|)
Проверено объектов: 116949
Прошло времени: 6 minute(s), 59 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 6
Заражено значений реестра: 1
Заражено параметров реестра: 3
Заражено папок: 1
Заражено файлов: 5

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражено папок:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Заражено файлов:
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> Quarantined and deleted successfully.
C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS\innounp.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.]
 

Alex1983

Разработчик
Сообщения
920
Реакции
444
Баллы
488
Карантин AVZ
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,583
Реакции
13,427
Баллы
2,203
В карантин ничего не попало.

Добавлено через 29 секунд
Пароли не забудьте сменить.
 

Alex1983

Разработчик
Сообщения
920
Реакции
444
Баллы
488
Что это может означать.

Добавлено через 1 минуту 8 секунд
Начто пароли сменить, т.е. чего пороли?
 

akok

Команда форума
Администратор
Сообщения
17,583
Реакции
13,427
Баллы
2,203
Все пароли которые являются критичными для вас. Почта, банковские системы, он-лайн игры и т.д.

И я жду повтор логов.
 

Alex1983

Разработчик
Сообщения
920
Реакции
444
Баллы
488
Если я не храню в компе пароли их тоже менять?
 

Alex1983

Разработчик
Сообщения
920
Реакции
444
Баллы
488
Логи
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,583
Реакции
13,427
Баллы
2,203
Что с проблемой?

Если я не храню в компе пароли их тоже менять?
Только те, которые использовали во время заражения.
 

Alex1983

Разработчик
Сообщения
920
Реакции
444
Баллы
488
Проблем вроде бы ни каких.
Хотелось узнать полностью удалил или нет этот вирус?
 

akok

Команда форума
Администратор
Сообщения
17,583
Реакции
13,427
Баллы
2,203
Следы почистили.
 

Alex1983

Разработчик
Сообщения
920
Реакции
444
Баллы
488
Это вопрос или ответ? На счет следов.
P.S. Когда будет результат по зачислению?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу