-
Junior Member
- Вес репутации
- 61
Вредоносный файл восстанавливается после каждого удаления
Помогите, пожалуйста.
По ссылке была загружена какаято новая зараза - антивирус его не знает.
Запустили авз - удалили два файла msdg32.dll и mslh.exe - после перезагрузки они появляются снова но меняетются 3 и 4 символы в имени файлов.
Выкладываю логи - к сожалению при выполнении скриптов авз из п.2 почемуто не сохраняются логи. я сохранила в текстовый файл - протокол. Прошу извинить что файлы выкладываю не по форме.
Последний раз редактировалось Хельга; 27.02.2008 в 15:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Отключите восстановление системы!!
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\usr876\locals~1\temp\exe345.tmp','');
QuarantineFile('c:\windows\system32\msup32.dll','');
QuarantineFile('c:\windows\system32\msbv.exe','');
DeleteFile('c:\windows\system32\msbv.exe');
DeleteFile('c:\windows\system32\msup32.dll');
DeleteFile('c:\docume~1\usr876\locals~1\temp\exe345.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
3. Пришлите карантин согласно приложению 3 правил.
4. Сделайте новые логи.
P.S. Remote Administrator стоит с вашего ведома?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
Bratez
1. Отключите восстановление системы!!
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\usr876\locals~1\temp\exe345.tmp','');
QuarantineFile('c:\windows\system32\msup32.dll','');
QuarantineFile('c:\windows\system32\msbv.exe','');
DeleteFile('c:\windows\system32\msbv.exe');
DeleteFile('c:\windows\system32\msup32.dll');
DeleteFile('c:\docume~1\usr876\locals~1\temp\exe345.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
3. Пришлите карантин согласно приложению 3 правил.
4. Сделайте новые логи.
P.S. Remote Administrator стоит с вашего ведома?
R admin стоит с нашего ведома.
логи высылаю. И Можно просьбу? Таких машин несколько - можно будет написать как удалять на остальных? Или тоже надо будет высылать логи?
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось Хельга; 27.02.2008 в 15:01.
-
Будете отвечать - не цитируйте сообщение полностью. Прощее читать будет.
Логи надо с каждой в новую тему. Легче будет разбираться.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
msup32.dll снова жив...
Сделайте такой лог:
http://virusinfo.info/showthread.php?t=10387
может увидим что-нибудь еще.
Добавлено через 5 минут
Зверек ваш называется Worm.Win32.Feebs
Последний раз редактировалось Bratez; 23.11.2007 в 12:39.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось Хельга; 27.02.2008 в 15:01.
-
Какой то неправильный архив вышел... только с xml файлом внутри, без html
-
-
Нет тот файл упаковали, надо было html а не xml.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Вот html
Огромное спасибо за описание вируса
Я нашла ветки реестра
HKLM\Software\Classes\CLSID\<случайный CLSID>\InprocServer32]
"@"="%System%\ms<2 произвольные буквы>32.dll"
[HKLM\Software\Microsoft\Windows\CurrentVersion\She llServiceObjectDelayLoad]
"ms<2 произвольные буквы>32.dll"="<случайный CLSID>"
[HKLM\Software\Microsoft\ms<2 произвольные буквы>\
Можно удалить ветки? я правильно поняла что если их удалить то exe и dll не будут восстанавливаться после удаления?
Последний раз редактировалось Хельга; 27.02.2008 в 15:01.
-
Ничего не удаляйте, посмотрим логи - сделаем скрипт.
Добавлено через 3 минуты
Загрузитесь в безопасный режим.
Пофиксите в HijackThis:
Код:
O21 - SSODL: msup32.dll - {42C950B7-EDB6-8083-01C8-2CC90FED5879} - c:\windows\system32\msup32.dll
Сразу после этого выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\msup32.dll');
BC_DeleteFile('c:\windows\system32\msup32.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
Последний раз редактировалось Bratez; 23.11.2007 в 13:56.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Я правильно поняла логи - там теперь чисто?
На остальных ПК - тоже следует удалять в безопасном режиме сначала hijackthis а потом avz?
Последний раз редактировалось Хельга; 27.02.2008 в 15:01.
-
Лог AVZ сделан из ограниченной учётки?
Так не пойдет, надо с правами администратора.
Добавлено через 4 минуты
На остальных ПК лучше все-таки не полениться и сделать логи, для каждого отдельную тему создать. Так оно надежнее будет. Для ускорения совет: предварительно чистите временные файлы IE, папки \Windows\Temp и %userprofile%\Local Settings\Temp - сэкономите кучу времени.
Последний раз редактировалось Bratez; 23.11.2007 в 15:15.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Спасибо огромное за помощь.
Логи обязательно еще раз выложу правда уже в понедельник.
Учту все Ваши замечания
-
Junior Member
- Вес репутации
- 61
Добрый день. Выкладываю новые логи собранные с правами локального админа.
Этот вирус опять восстановился. Приняли решение переустанавливать систему на ПК.
Последний раз редактировалось Хельга; 27.02.2008 в 15:01.
-
1.В avz выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZPMStatus(true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\mswu.exe','');
QuarantineFile('C:\WINDOWS\system32\DLGPC.DLL','');
QuarantineFile('\SystemRoot\System32\Drivers\DeviceLockDriver0.SYS','');
QuarantineFile('\SystemRoot\System32\Drivers\DeviceLockDriverHlpExt.SYS','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
QuarantineFile('c:\klpd\klpd.exe','');
QuarantineFile('c:\windows\system32\dltray.exe','');
QuarantineFile('c:\windows\temp\db7a08.exe','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2.Выслать карантин согласно приложению 3 правил
-
-
Junior Member
- Вес репутации
- 61
Это программа device lock - все нормально, она должна так себя вести (блокирование внешних устройств):
C:\WINDOWS\system32\DLGPC.DLL
\SystemRoot\System32\Drivers\DeviceLockDriver0.SYs
\SystemRoot\System32\Drivers\DeviceLockDriverHlpEx t.SYS
c:\windows\system32\dltray.exe
Это файлик от антивируса - он так от вирусов шифруется:
c:\windows\temp\db7a08.exe
Это тоже нужная прога - от принтера
c:\klpd\klpd.exe
Карантин выслать не могу ПК ушли на переустановку. Но я уже высылала 'c:\windows\system32\msXX.exe' в карантине.
Всем спасибо за помощь.