Др. Веб обнаружил целый зоопарк. Но один зверек не захотел удаляться. Видимо он и пытается новое семейство развести, когда под админом заходишь. Логи прилагаются.
Трояны, авторанеры и даунлоадеры
Др. Веб обнаружил целый зоопарк. Но один зверек не захотел удаляться. Видимо он и пытается новое семейство развести, когда под админом заходишь. Логи прилагаются.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('E:\WINDOWS\system32\_svchost.exe',''); QuarantineFile('E:\WINDOWS\system32\msvcrtdm.dll',''); QuarantineFile('E:\WINDOWS\system32\64.exe',''); DeleteFile('E:\WINDOWS\system32\64.exe'); QuarantineFile('E:\DOCUME~1\9335~1\LOCALS~1\Temp\K6YnNZT4.sys',''); DeleteFile('E:\DOCUME~1\9335~1\LOCALS~1\Temp\K6YnNZT4.sys'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Карантин закачал
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('E:\WINDOWS\system32\msvcrtdm.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Повторите логи
Комп, после перезагрузки, стал ругаться на отсутствие msvcrtdm.dll - "приложению не удалось запуститься из-за отсутствия msvcrtdm.dll" список приложений выходит большой - userinit.exe, winlogon.exe, lsass.exe, explorer.exe, suondman.exe и др. Из-за этого не работает английская раскладка и войти под админом невозможноПоэтому логи не могу сделать. Что делать?
Этот файл в вашем карантине AVZ имеет имя avz00001.dta.
Можно вынуть его оттуда, переименовать и положить на место.
Однако, файл зловредный, надо еще подумать, как можно от него корректно избавиться.
I am not young enough to know everything...
Выну его и логи повторить?Сообщение от Bratez
Да, повторите.
I am not young enough to know everything...
Логи
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile('E:\Documents and Settings\Шишлянников\Application Data\ltzqai.exe'); DeleteFile('E:\RECYCLER\S-1-5-21-5179896325-0043184165-272351144-1877\syscr.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Microsoft Inet Service'); BC_Activate; RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2052111302-1060284298-725345543-1005\Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell'); RebootWindows(true); end.
Для контроля повторите лог virusinfo_syscheck (п.2 Диагностики).
Установите SP3 и последующие обновления (может потребоваться повторная активация!).
По поводу msvcrtdm.dll пока подумаем.
I am not young enough to know everything...
Как выяснилось, для удаления этого зловреда необходимо сначала восстановить файл Windows\System32\imm32.dll (из дистрибутива вашей версии XP или из аналогичной здоровой системы). Замену можно произвести через консоль восстановления или с помощью загрузочного CD. Тем самым привязка к msvcrtdm.dll убирается, и его можно будет удалить.
Для вас наилучшим решением будет установка SP3, т.к. при этом imm32.dll будет в числе прочих заменен обновленной версией, что автоматически решает проблему.
I am not young enough to know everything...
Замену imm32.dll сделал. Удалил msvcrtdm.dll
Однако Др Веб ругается на вирус-даунлоадер типа ltzqai.exe (что-то лог агента с ходу найти не могу, чтобы сказать где конкретно зараза, но видимо там же).
ltzqai.exe удалялся скриптом в сообщении #10.
В логе ничего плохого не видно. Или скрипт помог, или DrWeb сам справился.
Но на всякий случай сделайте еще лог virusinfo_syscure (п.1 Диагностики).
I am not young enough to know everything...
Установил 3 сервис пак. Лог прилагается.
Если сохранили копию, пришлите его.
В логе все хорошо.
I am not young enough to know everything...
К сожалению не сохранил.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- e:\\windows\\system32\\msvcrtdm.dll - Trojan.Win32.Agent.hhpv ( DrWEB: Trojan.Siggen.64537, BitDefender: Spyware.12747, AVAST4: Win32:Trojan-gen )
- e:\\windows\\system32\\64.exe - P2P-Worm.Win32.Palevo.avjd ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Win32.Worm.Palevo.BZ, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
Уважаемый(ая) Rogoff, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
