Перейти к содержанию
Правила раздела

Найти и обезвредить HEUR:Trojan.Script.lframer

Iraida

От Iraida
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Iraida Новичок

Iraida

Опубликовано
Опубликовано

В моём компьютере поселился троян HEUR:Trojan.Script.lframer. Я выполнила все шаги, указанные по данной ссылке: http://forum.kasperskyclub.ru/index.php?showtopic=1698. Теперь ваша очередь.

virusinfo_syscheck.htm

virusinfo_syscure.htm

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 33
  • Created
  • Последний ответ

Top Posters In This Topic

  • Iraida

    17

  • ТроПа

    14

  • akoK

    2

  • itmurun

    1

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

ТроПа
ТроПа

Спасибо, папку получил Самая главная проблема это вот этот файл 'C:\WINDOWS\Temp\78.tmp' - Trojan-PSW.Win32.LdPinch.aebm Этот гад и крал все пароли.

akoK
akoK

Trojan-PSW.Win32.LdPinch.aebm - меняйте все пароли которые еще не сменили после лечения.

akoK Ветеран

akoK

Опубликовано
Опубликовано

Когда базы антивируса в последний раз обновлялись?

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Secdrv', 4);
QuarantineFile('C:\WINDOWS\Temp\78.tmp','');
QuarantineFile('c:\windows\system32\oembios.exe','');
QuarantineFile('c:\windows\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe');
DeleteFile('c:\windows\system32\ntos.exe');
DeleteFile('c:\windows\system32\oembios.exe');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\Program Files\MyPlayCityRU\tbMyPl.dll');
DeleteFile('C:\WINDOWS\Temp\78.tmp');
DelBHO('{dfbeb35b-444d-4f25-8d7d-eb2683c206ec}');
DelBHO('{BA52B914-B692-46c4-B683-905236F6F655}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DeleteService('Secdrv');
BC_ImportALL;
ExecuteRepair(16);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Пофиксить в HijackThis следующие строчки

	F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\ntos.exe,c:\window s\system32\oembios.exe,C:\WINDOWS\system32\twex.exe,

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
Iraida Новичок

Iraida

Опубликовано
  • Автор
Опубликовано

посылаю вам результаты сканирования , выполненные исходя из рекомендация по ссылке;)//forum.kasperskyclub.ru/index.php?showtopic=1698

virusinfo_syscheck.htm

virusinfo_syscure.htm

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Iraida, а вы рекомендации предложенные akoK выполняли? И вы зачем одни и те-же логи снова выложили. Нужно сделать новые. точно так же как вы делали в первый раз.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Что конкретно не понятно?

Код

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

 

Это тоже надо выполнить в АВЗ

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пофиксить в HijackThis следующие строчки

Это есть Как выполнить скрипт в AVZ и "пофиксить" в HijackThis?

Ссылка на комментарий
Поделиться на другие сайты
Iraida Новичок

Iraida

Опубликовано
  • Автор
Опубликовано
Да я выполнила первый шаг, а вот дальше не могу разобраться, подскажите.

"AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". - Это я выполнила.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Оба скрипта? письмо отправили? Дальше фиксите в HJT, если какой-то из строк не окажется, тогда не ищите её.

После этого сделайте логи как делали первый раз перед тем как вылаживать на форуме.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Нет - ничего страшного. Делайте логи АВЗ и HJT заново как написано в теме http://forum.kasperskyclub.ru/index.php?showtopic=1698 нам нужно посмотреть, что удалилось, а что проявилось.

Ссылка на комментарий
Поделиться на другие сайты
Iraida Новичок

Iraida

Опубликовано
  • Автор
Опубликовано

Я сделала, мне ответили, что: begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

выполнен без ошибок.

 

 

Подскажите, что отправить в письме. После сканирования у меня появилась папка карантин, я должна её заархивировать и отправить?

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

После скрипта появится файл quarantine.zip в папке с AVZ вот его и нужно выслать. Пароль на архи virus ставит АВЗ сама при выполнении срипта. Пароль нужно только указать в письме, что бы аналитики могли распаковать архив.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Теперь в логах активного заражения не наблюдается. Можете поставить компьютер на полную проверку антивирусом, пусть поищет, может ещё како-то мусор найдётся.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...