Проблемы после лечения и удаления atiataxx.dll и atiatbxx.sys

**Vialendil** · 20.07.2007, 12:02

Поймал тучу троянов после посещения официальной страницы писателя Александра Покровского (адрес не пишу, дабы кто случайно не попался), вычистил (Семантиком, руками, АVZ), но глюки продолжаются - на ряде форумов после авторизации не показывает страницы, вернее показывает, что они пустые (в HTML-коде присутствуют только заголовок, больше ничего), на Яндексе перестала работать карта, говорит, что у меня отключена Java.....
хотя Java вроде есть.... кстати syscheck так и не создался...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**drongo** · 20.07.2007, 12:57

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\PROGRA~1\Yuna\CONSRE~1\CONSRE~1.EXE','');
 QuarantineFile('C:\WINDOWS\system32\winnet.dll','');
 QuarantineFile('C:\WINDOWS\system32\winload.dll','');
 QuarantineFile('C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tandpl.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\enodpl.sys','');
DeleteFile('C:\WINDOWS\system32\winnet.dll');
DeleteFile('C:\WINDOWS\system32\winload.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11189
Сделать новые логи по правилам.

**Vialendil** · 20.07.2007, 14:38

1. Скрипт выполнил.
2. Карантин загружен:
Файл сохранён как 070720_133857_virus_46a082b186e8b.zip
Размер файла 4748733
MD5 48828974ddb670cb031c1e1ec7adfae2
3. C:\PROGRA~1\Yuna\CONSRE~1\CONSRE~1.EXE - Система online обновления правовой базы Консультант-Плюс
C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.ex e - Кусок SMS-клиента от Microsoft
4. Логи приложил.... syscheck так и не хочет создаваться

После выполнения всего вышеописанного Семантек нашел sysdrv8.exe в %windir% и в %windir%\system32 и опознал в нем некий HackTool, но удалить не смог... пробовал через AVZ удалить и помеcтить в карантин... в карантин поместить не дал, сославшись на ошибку и прямое чтение.... удалил через отложенное удаление.

На Яндексе карта появилась, в форумах, где после авторизации пропадала инфа, все появилось... Спасибо!
Хотя может еще что-то есть недолеченное ;-)

**PavelA** · 20.07.2007, 17:51

Вот эти файлы Вам нужны? Если нет, то думается их лучше удалить с диска.

Код:

C:\Program Files\Transcender\BACKUP\AutoProf.exe >>> подозрение на Trojan-Clicker.Win32.VB.on ( 0044E440 0029FAE2 0012E961 001E47C6 24576)
C:\Program Files\Transcender\BACKUP\FileCleanup.exe >>> подозрение на AdvWare.Win32.CashDeluxe.g ( 00433EE8 002E237F 00009EA0 00000000 20480)
C:\Program Files\Transcender\BACKUP\MasterUpdater.exe >>> подозрение на Trojan-Downloader.Win32.Adload.fo ( 003D56DA 0034D2D5 0013F7D6 00239755 24576)
C:\Program Files\Transcender\BACKUP\TPM.exe >>> подозрение на Trojan-Clicker.Win32.VB.re ( 0047BBAA 002C0845 001790EB 000B4CD6 36864)
C:\Program Files\Transcender\cleanup.exe >>> подозрение на Trojan.Win32.Dopen.b ( 004199AC 002C0845 0019462D 00000000 16384)
C:\Program Files\WildGames\Penguins!\DataRepair.exe >>> подозрение на Trojan-Clicker.Win32.Agent.ac

Активных зловредов ы логах не заметил.

**Vialendil** · 20.07.2007, 20:17

C:\Program Files\Transcender\BACKUP\AutoProf.exe >>> подозрение на Trojan-Clicker.Win32.VB.on ( 0044E440 0029FAE2 0012E961 001E47C6 24576)
C:\Program Files\Transcender\BACKUP\FileCleanup.exe >>> подозрение на AdvWare.Win32.CashDeluxe.g ( 00433EE8 002E237F 00009EA0 00000000 20480)
C:\Program Files\Transcender\BACKUP\MasterUpdater.exe >>> подозрение на Trojan-Downloader.Win32.Adload.fo ( 003D56DA 0034D2D5 0013F7D6 00239755 24576)
C:\Program Files\Transcender\BACKUP\TPM.exe >>> подозрение на Trojan-Clicker.Win32.VB.re ( 0047BBAA 002C0845 001790EB 000B4CD6 36864)
C:\Program Files\Transcender\cleanup.exe >>> подозрение на Trojan.Win32.Dopen.b ( 004199AC 002C0845 0019462D 00000000 16384)

Эти файлы от экзаменационной системы.... подготовка к сдаче сертификационных экзаменов Microsoft, Orcale, HP и т.п. Возможно они и сделаны по вирусной технологии, потому как после запуска режима тестирования перехватывают прерывания клавиатуры и не дают выйти из нее, запустить списк задач.... при это сама запускает процессы Windows для проверки знаний, но с ограниченным функционалом, чтобы экзаменуемый не нажал "лишнего" :-)))

C:\Program Files\WildGames\Penguins!\DataRepair.exe >>> подозрение на Trojan-Clicker.Win32.Agent.ac

Это от игрушки-головоломки "Пингвины", типа "Лемминги".... Ее можно и снести.... в принципе я ее для ребенка ставил, но "восстановлением" данных никогда не пользовался :-)

Добавлено через 5 минут
Встречный вопрос.... почему у меня AVZ не сделало syscheck.log?

**PavelA** · 23.07.2007, 17:04

Сообщение от Vialendil

Встречный вопрос.... почему у меня AVZ не сделало syscheck.log?

Какое-нибудь сообщение об ошибке в AVZ выдается?
Попробуйте просто руками сделать след.:
1. Отметить диск "C" - запустить проверку.
2. Файл - Исследование системы.
Что из этого не получится, напишите.

**CyberHelper** · 22.02.2009, 02:07

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 30
В ходе лечения вредоносные программы в карантинах не обнаружены

Проблемы после лечения и удаления atiataxx.dll и atiatbxx.sys (заявка № 11189)

Опции темы

Проблемы после лечения и удаления atiataxx.dll и atiatbxx.sys

Итог лечения

Похожие темы

Вирусы появляютсяя после удаления и лечения.

После удаления банера, проблемы...

проблемы после удаления вируса

После лечения/удаления вирусов.

atiatbxx.sys (8kb) и atiataxx.dll (25kb) - трояны

Ваши права в разделе