-
Junior Member
- Вес репутации
- 61
Взгляните на логи, плз
На мой взгляд в логах чисто, но по опыту знаю, что Ваш взгляд отличается от моего.
Логи сделала после восстановления возможности видеть скрытые файлы, которая почему-то пропала, пришлось изменять значение в реестре.
Кроме того на диске очень мало места, и после удаления папки с файлами на 570 Мб, оно не увеличилось, что натолкнуло меня на мысль о вражеских засланцах. Но вполне возможно это просто неудачная сборка ХР с разными плугинами, установленная недавно сыном, и глючащая с первого дня.
Разрешите мои сомнения.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт
Код:
begin
QuarantineFile('D:\NISSAN\WH4Shell.exe','');
QuarantineFile('D:\NISSAN\WPWShell.exe','');
QuarantineFile('D:\WINDOWS\system32\zpgmlt.dll','');
end.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Последний раз редактировалось Rene-gad; 13.04.2009 в 11:30.
-
-
Junior Member
- Вес репутации
- 61
Карантин закачала, но подозреваю, что последний файл пуст.
AVZ выдал:
Выполнен карантин файла D:\NISSAN\WH4Shell.exe
Выполнен карантин файла D:\NISSAN\WPWShell.exe
Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\system32\zpgmlt.dll)
Карантин с использованием прямого чтения - ОК
Файл успешно помещен в карантин (D:\WINDOWS\system32\zpgmlt.dll)
Выполнен карантин файла D:\WINDOWS\system32\zpgmlt.dll
Добавлено через 1 минуту
И опять не показывает скрытые файлы...
Последний раз редактировалось Rina; 13.04.2009 в 12:56.
Причина: Добавлено
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\system32\zpgmlt.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Mr. Bratez, да Вы волшебник!
На диске волшебным образом образовалось 1,5Гб свободного места, правда зверина похоже осталась на месте
-
L - это у Вас флешка?
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('L:\autorun.inf','');
DeleteFile('L:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится, закачайте карантин
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 61
Она самая.
А zpgmlt.dll - что за зверь?
Дело в том, что тотал коммандер эту dll-ку видит, говорит, что это системный или скрытый файл, а удалить не может, пишет защищено от записи.
Последний раз редактировалось Rina; 13.04.2009 в 20:44.
-
Junior Member
- Вес репутации
- 61
Autorun из карантина отправила.
Новые логи:
-
Сообщение от
Rina
А zpgmlt.dll - что за зверь?
Net-Worm.Win32.Kido.ih
Добавлено через 6 минут
Выполните скрипт в безопасном режиме, флешка L д.б. подключена.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\system32\zpgmlt.dll');
DeleteFile('L:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Компьютер перезагрузится
Сделайте новые логи в нормальном режиме.
Последний раз редактировалось Rene-gad; 13.04.2009 в 23:55.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 61
Не дождавшись ответа вчера ночью, я этого зловреда пыталась выкорчевать всеми известными мне способами, и паучком (Cure it), и мечом (Ice Sword). Не удалось, хотя все рапортовали об успешном удалении. А утром пришел сын и добил его лопатой (снял защиту через Total Commander). Жить стало легче, свойства папки теперь не меняются при перезагрузке, правда Word и принтер ошибки выдают по прежнему, но уже не так обидно.
Огромное спасибо всем! Без вашей помощи мы бы не узнали фамилию зловреда и не смогли бы добить его.
PS: AVZ не может его удалить, и даже в карантине он весит 0 байт, сейчас жалею, что не попыталась скопировать его Вам для коллекции.
Последний раз редактировалось Rina; 14.04.2009 в 15:59.
-
Junior Member
- Вес репутации
- 61
Упс... Добить зловреда не удалось, сегодня он появился снова, на своем любимом месте D:\WINDOWS\system32\zpgmlt.dll, видимо окопался где-то ещё.
Я его запаковала в ZIP- архив, закачать в запрошенный карантин?
-
Закачайте. Хотя мы вроде его уже видели...
Выполняйте последний скрипт от Rene-gad с подключенной флэшкой и новые логи - в студию.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Скрипт выполнила, хотя не уверена что поможет, будем наблюдать...
После выполнения скрипта обнаружилось какое-то новое оборудование, установить не удалось, идентифицировать тоже, просился в интернет, поискать драйвер, но не пустили, инета на этом компе нет, вернее доступ к нему закрыт, и откуда только такой зверь взялся?
А есть какой-нибудь способ, чтобы найти остатки этого червя?
Новые логи:
-
Сообщение от
Rina
После выполнения скрипта обнаружилось какое-то новое оборудование
Удалите его в диспетчере оборудования
Сообщение от
Rina
А есть какой-нибудь способ, чтобы найти остатки этого червя?
Есть: format c:\
В логах сейчас ничего плохого не видно.
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
Rene-gad
Есть: format c:\
Так и думала, что всё к этому идет
Всем большое спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- d:\windows\system32\zpgmlt.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )
- \zpgmlt.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )
-