[alex_sev]

Выполните правила

[basbas]

куреит все нормально говорит
сделал по инструкции, прикрепил к посту логи

[S.R]

Сейчас гляну логи.

Отключите:
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, меню Файл\Выполнить скрипт)

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\system32\Windupdt\svchost.exe','');
 QuarantineFile('C:\Users\Admin\Desktop\Connect.exe','');
 QuarantineFileF('C:\Windows\system32\Windupdt','*.*',true,'',0,0);
 DeleteFile('C:\Windows\system32\Windupdt\svchost.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','windows');
 DeleteFileMask('C:\Windows\system32\Windupdt', '*.*', true);
 DeleteDirectory('C:\Windows\system32\Windupdt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отошлите через веб-форму.


Сделайте новые логи AVZ & RSIT

• Скачайте Malwarebytes' Anti-Malware, установите, обновите базы
• Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
• После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению

[basbas]

Connect.exe программа нашего провайдера через нее запускаю интернет, это точно не троян

[alex_sev]

Тогда удалите из скрипта следующие стороки:

Код:

 QuarantineFile('C:\Users\Admin\Desktop\Connect.exe','');

[alex_sev]

Анализ Вашего трояна:

создает файл:

Код:

"C:\WINDOWS\system32\Windupdt\svchost.exe"

для автозапуска прописывает пути в ветки реестра:

Код:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit\"C:\WINDOWS\system32\userinit.exe,"/"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\Windupdt\svchost.exe"

и/или

Код:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\windows\"C:\WINDOWS\system32\Windupdt\svchost.exe"

создает папку для хранения логов:

Код:

C:\Documents and Settings\User\Local Settings\Temp\dclog

крадет сохраненные пароли из браузеров и куков, и затем отправляет на следующие ftp-серверы:

Код:

ftp.land.ru
bboott.no-ip.info

Разослал образец по вирлабам

На данный момент должен детектится:
AhnLab - по упаковщику
DrWeb - как Trojan.PWS.UFR.1013
McAfee - по облачному сканированию
FortiClient - по упаковщику

[basbas]

мы его в прошлом шаге удалили или нужно что то предпринять, снова запускать авз и рсит?

[Techno88]

Цитата basbas:

мы его в прошлом шаге удалили или нужно что то предпринять, снова запускать авз и рсит? »

...

Цитата S.R:

Сделайте новые логи AVZ & RSIT Скачайте Malwarebytes' Anti-Malware, установите, обновите базы Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению »

[basbas]

Malwarebytes' Anti-Malware лог прикрепил