-
Junior Member
- Вес репутации
- 63
троян в файле wmdrtc32.dll
на компьютере пропали службы антивируса McAfee. Перестали запускаться некоторые программы (появлялись файлы данных нулевого размера). Заново установил Антивирус mcAfee - но он ничего не нашел. AVZ указал на подозрительный файл wmdrtc32.dll (подозрение на троян, келоггер) в папке system32. Запретил на NTFS любой доступ к файлам wmdrtc32.dl_ и wmdrtc32.dll. Отправил эти файлы в McAfee, чтобы они включили в базы.
В новых базах McAfee вирус стал определяться как W32/Stration@MM.
Повторные сканирования AVZ и McAfee ничего не находят. Но при попытке запусков многих (но не всех) exe файлов на компьютере Mcafee определяет попытку записи wmdrtc32.dl_ и wmdrtc32.dll в system32 и удаляет их. При этом программы не запускаются.
В реестре никаких ссылок на эти файлы не нашел.
Помогите разобраться, откуда они запускаются (где прописался троян?). И можно ли вылечить зараженные exe-файлы
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт, файлы из карантина пришлите по правилам
Код:
begin
QuarantineFile('C:\WINNT\System32\rtmservice.exe','');
QuarantineFile('C:\WINNT\System32\drivers\mfetdik.sys','');
QuarantineFile('C:\WINNT\System32\drivers\mfehidk.sys','');
QuarantineFile('C:\WINNT\system32\drivers\ghlnjm.sys','');
QuarantineFile('c:\winnt\system32\rtmservice.exe','');
end.
-
-
Junior Member
- Вес репутации
- 63
прошу прощения, а где правила отсылки файлов?
-
5. Выберите из меню "Файл" - >"Просмотр карантина".
6. Справа в списке файлов отметьте те файлы которые хотите выслать.
7. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
8. Загрузите полученный архив по адресу http://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
-
-
Junior Member
- Вес репутации
- 63
отправил. Прошу прощения, сразу не увидел приложения 2 с правилами отсылки файлов.
Похоже троян 'C:\WINNT\system32\drivers\ghlnjm.sys' .
Остальные - это Remote Task Manager и McAfee
-
Сообщение от
Sergiy
отправил. Прошу прощения, сразу не увидел приложения 2 с правилами отсылки файлов.
Похоже троян 'C:\WINNT\system32\drivers\ghlnjm.sys' .
Остальные - это Remote Task Manager и McAfee
Ну и отлично . Надо же базу безопасных пополнять ,а то логи выходят с большим количеством подозреваемых .
-
-
C:\WINNT\system32\drivers\ghlnjm.sys
Код:
Scan taken on 15 Jan 2007 13:12:55 (GMT)
AntiVir Found TR/Drop.Warezov.A.1
ArcaVir Found HLL.Sality.Q
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Trojan.Rootkit.AF
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found W32/Sality.AF
F-Secure Anti-Virus Found Virus.Win32.Sality.s
Fortinet Found nothing
Kaspersky Anti-Virus Found Virus.Win32.Sality.s
NOD32 Found nothing
Norman Virus Control Found nothing
VirusBuster Found Win32.Sality.AA
VBA32 Found nothing
-
-
Junior Member
- Вес репутации
- 63
удалил этот файл, перегрузился. Заново не появляется. Но exe файлы все равно не запускаются - копируется wmdrtc32.dll в system32 и появляется сообщение о вирусе
-
Сообщение от
Sergiy
удалил этот файл, перегрузился. Заново не появляется. Но exe файлы все равно не запускаются - копируется wmdrtc32.dll в system32 и появляется сообщение о вирусе
В AVZ меню Файл Восстановление системы - в строчке
1. Восстановление параметров запуска .exe, ...
поставьте галочку. Нажмите кнопку Выполнить ...
Перезагрузите компьютер.
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
Shu_b
C:\WINNT\system32\drivers\ghlnjm.sys
Код:
Scan taken on 15 Jan 2007 13:12:55 (GMT)
AntiVir Found TR/Drop.Warezov.A.1
ArcaVir Found HLL.Sality.Q
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Trojan.Rootkit.AF
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found W32/Sality.AF
F-Secure Anti-Virus Found Virus.Win32.Sality.s
Fortinet Found nothing
Kaspersky Anti-Virus Found Virus.Win32.Sality.s
NOD32 Found nothing
Norman Virus Control Found nothing
VirusBuster Found Win32.Sality.AA
VBA32 Found nothing
подскажите, пожалуйста, как вы проверили файл сразу несколькими антивирусными сканерами? есть сайт в интернете с подобной услугой?
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\winnt\\system32\\drivers\\ghlnjm.sys - Virus.Win32.Sality.s (DrWEB: Trojan.Ipsof)
-