Решена - троян Win32/Spy.Banker.ZNX как удалить?

Добрый день!

NOD32 обнаруживает трояна в оперативной памяти при каждом запуске и не очищает.

Логи:
- Hijack http://zalil.ru/34654000
- AVZ http://zalil.ru/34654008
- uVS http://zalil.ru/34654006

Спасибо!

 

Здравствуйте!

Как давно клиент-банком пользуетесь?
C:\DOCUMENTS AND SETTINGS\АДМИН\APPLICATION DATA\IBANK2\AGENT.EXE

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код:

;;uVS v3.80.13 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИН\APPLICATION DATA\IBANK2\AGENT.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\GYCIR.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИН\APPLICATION DATA\IBANK2\AGENT.EXE
delall %Sys32%\XTGINA.DLL
regt 12
; Java(TM) 6 Update 31
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet
deltmp
delnfr
regt 14
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, залейте его на rghost.ru и дайте ссылку
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

 

Спасибо!

Довольно давно, несколько лет. Вроде бы прецедентов никаких не было.

ZOO: http://rghost.ru/47820713
MBAM: http://rghost.ru/47820817

 

про кейлоггер MPК вы в курсе? если нет, то удаляйте все найденное и перезагружайтесь
затем сделайте лог AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

 

Спасибо!

В Mbam всё удалил.

Лог AdwCleaner: http://rghost.ru/47908445

 

а кто устанавливал?

 

Это к сожалению не при мне было. Т.к. банки крайне редко выезжают на установку клиент-банка, то скорее всего ставил кто-то из бухгалтеров под руководством инженера банка (по телефону).

 

ну похоже это уже не клиент-банк, а зловред.
так что не запускайте его, а лучше удалите от греха подальше.
позвоните в банк, уточните какая программа сейчас актуальна.
также рекомендую сменить пароли свои банковские

Если проблема решена, то:
При наличии на ПК доступа в интернет выполните следующий скрипт в AVZ:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

Если форум оказался полезен вам, пожалуйста, поддержите его работу -

 

Хорошо, большое спасибо - завтра постараюсь сделать всё по вашим рекомендациям!

 

Все обновления поставил.
Nod молчит, вроде всё чисто. СПАСИБО!