Избавиться от Trojan.PWS.Ibank.28.

Svetliko · 24.03.2010, 16:08

Хотелось бы избавиться от вируса. Не зайти на некоторые сайты. Просканировала Dr.Web, обнаружил этот вирус, но действий никаких не предложил. Прочитала подобные темы и сделала логи :
http://exfile.ru/91253
http://exfile.ru/91251

help? · 24.03.2010, 16:29

Здравствуйте!
Пофиксите в хайджеке:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ac764827.exe,\\?\globalroot\systemroot\system32\hOWXdpU.exe,
O4 - HKUS\S-1-5-19\..\RunOnce: [IE8_01] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE8_01] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE8_01] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE8_01] regsvr32 /s /n /i:u shell32 (User 'Default user')

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('C:\94d2c6407de97db78a35d188b6', '*.*', true);
DeleteFileMask('C:\666\User\Local Settings\Temporary Internet Files', '*.*', true);
DeleteFileMask('C:\666\User\Local Settings\Temp', '*.*', true);
 DeleteFile('\\?\globalroot\systemroot\system32\hOWXdpU.exe');
 DeleteFile('C:\WINDOWS\system32\ac764827.exe');
 DeleteFile('C:\autorun.exe');
 DeleteFile('C:\autorun.wsh');
 DeleteFile('H:\autorun.wsh');
 DeleteFile('J:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Комп.перезагрузится!Повторите логи.

Чистый листочек · 24.03.2010, 16:31

У мну в последнее время не открываются логи AVZ (один из двух, не тот где описаны процессы). Пишет ошибка XML. Что делать?

---------- Добавлено в 14:31 ---------- Предыдущее сообщение было написано в 14:31 ----------

Цитата:

Сообщение от help?

\\?\globalroot

Это как?...

help? · 24.03.2010, 16:34

Цитата:

Сообщение от Чистый листочек

У мну в последнее время не открываются логи AVZ (один из двух, не тот где описаны процессы). Пишет ошибка XML. Что делать?

---------- Добавлено в 14:31 ---------- Предыдущее сообщение было написано в 14:31 ----------

Это как?...

Давай в ЛС
С браузером что-то.
Да,прям так в скрипте и писать,авз вообще не смогла путь отобразить.

Svetliko · 24.03.2010, 16:46

Сделала все по порядку, но комп не перегружается.AVZ висит

help? · 24.03.2010, 16:52

Цитата:

Сообщение от Svetliko

Сделала все по порядку, но комп не перегружается.AVZ висит

Антивирусы выключали полностью?

Svetliko · 24.03.2010, 16:56

У меня Dr.Web стоит. Два дня как поставили, совсем с ним не знакома. Не нашла выхода, хоть убейте.только если уалить.

help? · 24.03.2010, 16:58

Цитата:

Сообщение от Svetliko

У меня Dr.Web стоит. Два дня как поставили, совсем с ним не знакома. Не нашла выхода, хоть убейте.только если уалить.

А в трее правой кнопка мыши на него шелкнуть и увидеть кнопку выход и тому подобное?

Svetliko · 24.03.2010, 17:48

Нашла "выгрузить" в докторе , выполнила скрипт, перегрузился. на сайты антивирусников заходит, сделала логи :
http://exfile.ru/91284
http://exfile.ru/91285

help? · 24.03.2010, 18:00

Цитата:

Сообщение от Svetliko

Нашла "выгрузить" в докторе , выполнила скрипт, перегрузился. на сайты антивирусников заходит, сделала логи :
http://exfile.ru/91284
http://exfile.ru/91285

Кое-что есть.Подождите скрипт.
Точно так же выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('SetupNTGLM7X');
 DeleteService('NTACCESS');
 DeleteService('MSICPL');
 DeleteService('GMSIPCI');
 DeleteFile('I:\INSTALL\GMSIPCI.SYS');
 DeleteFile('I:\install4\MSICPL.sys');
 DeleteFile('I:\NTACCESS.sys');
 DeleteFile('I:\NTGLM7X.sys');
 DeleteFile('J:\autorun.inf');
DeleteFileMask('C:\03eea0906a5d720d47cf81ef' , '*.*', true);
DeleteFile('C:\666\User\Local Settings\Application Data\yqohulekys.dll');
DeleteFile('C:\666\User\Cookies\erolawih.dll');
DeleteFile('C:\666\User\Cookies\ubekucycyg.scr');
DeleteFile('C:\666\User\Cookies\yvori.dll');
DeleteFile('C:\666\User\Application Data\alecohyfo.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите лог авз.
1. Скачайте установочный файл mbam-setup.exe , скачивающая ссылка находится на странице http://www.malwarebytes.org/mbam-download.php
2. Установите ее по стандартному пути с настройками по умолчанию.
3. Запустите полное сканирование. Ничего не удаляйте!!!! (много ложных срабатываний).
4. По окончании сканирования будет сгенерирован лог.
5. Прикрепите его без переименования к Вашему следующему сообщению.

Svetliko · 24.03.2010, 20:52

Сделала .Вот, что получилось
http://exfile.ru/91322
http://exfile.ru/91325

help? · 24.03.2010, 21:25

Цитата:

Сообщение от Svetliko

Сделала .Вот, что получилось
http://exfile.ru/91322
http://exfile.ru/91325

Зловреда в логах видно,просто хочется все сразу прибить.Подождите скрипта.

Svetliko · 24.03.2010, 21:34

http://exfile.ru/91336

help? · 24.03.2010, 21:47

C:\666\User\Application Data\yhuzidi.pif
Прямое чтение C:\666\User\Local Settings\Application Data\alybe.scr
Прямое чтение C:\666\User\Local Settings\Application Data\anory.com
Прямое чтение C:\666\User\Local Settings\Application Data\buzegujo.com
Прямое чтение C:\666\User\Local Settings\Application Data\coqefo.com
Прямое чтение C:\666\User\Local Settings\Application Data\Downloaded Installations\{2C83359C-A742-4369-9D9E-B9B9B7E04CE3}\EA Core.msi
Прямое чтение C:\666\User\Local Settings\Application Data\Downloaded Installations\{ADA09ACC-9047-415D-8990-C10A562CB905}\EA Core.msi
Прямое чтение C:\666\User\Local Settings\Application Data\ocykah.dl
Известно?

Svetliko · 24.03.2010, 21:54

да мне бы вообще эту папку 666 удалить, да не дается. мне переустановили винд и 666 это бывшая Program Files, переименованная . при удалении пишет нет доступа.
помощники делали и не доделали. а я не думала, что там угроза сидит.

24.03.2010, 16:08	#1 (ссылка)
Svetliko Новичок Регистрация: 24.03.2010 Сообщений: 19 Репутация: 0	Избавиться от Trojan.PWS.Ibank.28. Хотелось бы избавиться от вируса. Не зайти на некоторые сайты. Просканировала Dr.Web, обнаружил этот вирус, но действий никаких не предложил. Прочитала подобные темы и сделала логи : http://exfile.ru/91253 http://exfile.ru/91251

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Trojan-Spy.Wind32.Zbot.ikh" Помогите избавиться от вируса!!!!!	Умка	Безопасность	11	16.01.2011 22:22
Trojan-Spy.Wind32.Zbot	ortie	Безопасность	10	25.12.2010 11:59
Trojan.Winlock.2194	Нестеренко Алёна	Безопасность	7	05.09.2010 23:02
Trojan A0040776.exe	Bilal	Безопасность	9	06.06.2010 21:00
Подхватил trojan.PWS.Ibank	COOLer_DMST	Безопасность	7	11.04.2010 03:37
Проблема с trojan.pws.ibank.28	bloomer376	Безопасность	17	02.04.2010 02:08
Решено: Вылечить от trojan.pws.ibank.28	akrav	Безопасность	28	22.03.2010 14:45
Trojan.MulDrop, Siggen1, PWS.Ibank + нет доступа к сайтам	v119	Безопасность	13	13.03.2010 13:17
Trojan.packed.666	Dvp190476	Безопасность	12	19.02.2010 22:04
Прочитайте,пожалуйста ЛОГИ.Trojan.Win32.Patched.fr,Trojan.Downloader.Jav a.Agent.an	joy-jo	Безопасность	2	10.02.2010 21:13
В компьютере завелся Trojan.WinSpy.440	horbul	Безопасность	8	08.02.2010 16:36
Log'и AVZ и HiJackThis (Trojan.WinSpy.440)	missFortu	Безопасность	13	11.01.2010 15:26

24.03.2010, 16:46	#5 (ссылка)
Svetliko Новичок Регистрация: 24.03.2010 Сообщений: 19 Репутация: 0	Сделала все по порядку, но комп не перегружается.AVZ висит

24.03.2010, 16:56	#7 (ссылка)
Svetliko Новичок Регистрация: 24.03.2010 Сообщений: 19 Репутация: 0	У меня Dr.Web стоит. Два дня как поставили, совсем с ним не знакома. Не нашла выхода, хоть убейте.только если уалить.

24.03.2010, 17:48	#9 (ссылка)
Svetliko Новичок Регистрация: 24.03.2010 Сообщений: 19 Репутация: 0	Нашла "выгрузить" в докторе , выполнила скрипт, перегрузился. на сайты антивирусников заходит, сделала логи : http://exfile.ru/91284 http://exfile.ru/91285

24.03.2010, 20:52	#11 (ссылка)
Svetliko Новичок Регистрация: 24.03.2010 Сообщений: 19 Репутация: 0	Сделала .Вот, что получилось http://exfile.ru/91322 http://exfile.ru/91325

24.03.2010, 21:34	#13 (ссылка)
Svetliko Новичок Регистрация: 24.03.2010 Сообщений: 19 Репутация: 0	http://exfile.ru/91336

24.03.2010, 21:47	#14 (ссылка)
help? Заблокирован Стажёр Регистрация: 25.02.2010 Сообщений: 906 Репутация: 79	C:\666\User\Application Data\yhuzidi.pif Прямое чтение C:\666\User\Local Settings\Application Data\alybe.scr Прямое чтение C:\666\User\Local Settings\Application Data\anory.com Прямое чтение C:\666\User\Local Settings\Application Data\buzegujo.com Прямое чтение C:\666\User\Local Settings\Application Data\coqefo.com Прямое чтение C:\666\User\Local Settings\Application Data\Downloaded Installations\{2C83359C-A742-4369-9D9E-B9B9B7E04CE3}\EA Core.msi Прямое чтение C:\666\User\Local Settings\Application Data\Downloaded Installations\{ADA09ACC-9047-415D-8990-C10A562CB905}\EA Core.msi Прямое чтение C:\666\User\Local Settings\Application Data\ocykah.dl Известно?

24.03.2010, 21:54	#15 (ссылка)
Svetliko Новичок Регистрация: 24.03.2010 Сообщений: 19 Репутация: 0	да мне бы вообще эту папку 666 удалить, да не дается. мне переустановили винд и 666 это бывшая Program Files, переименованная . при удалении пишет нет доступа. помощники делали и не доделали. а я не думала, что там угроза сидит.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads