День добрый, сотрудник нашей фирмы по работе пообщался посредством e-mail с китайскими друзьями, в результате нахватал всякой гадости...
AVZ удалил пару aware с китайскими расширениями, гляньте плиз, наверняка что-то в системе осталось...
спасибо.
День добрый, сотрудник нашей фирмы по работе пообщался посредством e-mail с китайскими друзьями, в результате нахватал всякой гадости...
AVZ удалил пару aware с китайскими расширениями, гляньте плиз, наверняка что-то в системе осталось...
спасибо.
Последний раз редактировалось Antonnio; 21.01.2008 в 18:58.
Выполните скрипт в AVZ:
После перезагрузки анализы, то бишь карантин пришлите согласно приложению 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\58e1.dll',''); QuarantineFile('C:\Windows\System32\Check.exe',''); QuarantineFile('C:\WINDOWS\Alaunch.exe',''); QuarantineFile('C:\WINDOWS\Downlo~1\utb45.dll',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\dmcq.sys',''); QuarantineFile('C:\WINDOWS\system32\8e001.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\Oreans.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\mxdispdr.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\e1lglv.sys',''); QuarantineFile('C:\WINDOWS\system32\winlib .dll',''); QuarantineFile('C:\WINDOWS\system32\uv9uzp.dll',''); QuarantineFile('C:\WINDOWS\system32\msplrct.dll',''); QuarantineFile('C:\Program Files\Common Files\CPUSH\cpush0.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Файл сохранён как 071009_075329_virus_470b79c9bc21d.zip
Размер файла 638530
MD5 dd40b563e0852a60ebed633f6f45c672
я выполнил первый скрипт, комп пергрузился, потом выполнил второй скрипт, так что видимо в отправленном мной файле карантин только из второго скрипта, если он перезаписывается каждый раз...
dmcq.sys, e1lglv.sys, uv9uzp.dll - Trojan-Downloader.Win32.Hmir.bu (KAV)
58e1.dll - Trojan.Cinco (DrWeb)
utb45.dll - DLOADER.Trojan (DrWeb)
Check.exe - Trojan-PSW.Win32.WOW.lq (VBA32)
Alaunch.exe - чистый.
Кое что отправлено в вирлаб.
I am not young enough to know everything...
C:\WINDOWS\System32\DRIVERS\dmcq.sys Trojan-Downloader.Win32.Hmir.bu
C:\WINDOWS\system32\drivers\e1lglv.sys Trojan-Downloader.Win32.Hmir.bu
C:\WINDOWS\system32\uv9uzp.dll Trojan-Downloader.Win32.Hmir.bu
C:\WINDOWS\system32\58e1.dll Adware.Sagou.A
C:\Windows\System32\Check.exe Win32.WOW.lq
C:\WINDOWS\Alaunch.exe -чистый
C:\WINDOWS\Downlo~1\utb45.dll Adware.Sagou.A
C:\WINDOWS\system32\8e001.exe Adware.Sagou.A
C:\WINDOWS\system32\drivers\Oreans.sys - чистый
C:\WINDOWS\system32\drivers\mxdispdr.sys BackDoor-DMB.sys
ыполните скрипт...
повторите логи..Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('c:\windows\system32\8e001.exe'); DeleteFile('C:\Program Files\Common Files\CPUSH\cpush0.dll'); DeleteFile('C:\WINDOWS\system32\uv9uzp.dll'); DeleteFile('C:\WINDOWS\system32\winlib .dll'); DeleteFile('\??\C:\WINDOWS\system32\drivers\e1lglv.sys'); DeleteFile('\??\C:\WINDOWS\system32\drivers\mxdispdr.sys'); DeleteFile('C:\WINDOWS\system32\8e001.exe'); DeleteFile('C:\WINDOWS\Downlo~1\utb45.dll'); DeleteFile('C:\PROGRA~1\MIDNIG~1\ML1HEL~1.EXE'); DeleteFile('C:\WINDOWS\system32\58e1.dll'); DeleteFile('C:\WINDOWS\System32\DRIVERS\dmcq.sys'); DeleteFile('C:\Windows\System32\Check.exe'); BC_DeleteSvc('mxdispdr'); BC_DeleteSvc('e1lglv'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true) end.
сделал, логи повторяю...
Последний раз редактировалось Antonnio; 21.01.2008 в 18:58.
Безобразие!! "Восстановление" включено. Вдруг там звери остались. После очередного приключения полезут как из ларца.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
то есть сейчас все чисто?
Восстановление системы отключите, чтобы удалились зараженные точки восстановления.
Пофиксите в HijackThis:
Остался один очень подозрительный файл:Код:O2 - BHO: Invoke Class - {42A3A616-FF3C-4713-A5C2-4F1B566CEF51} - C:\WINDOWS\system32\58e1.dll (file missing)
C:\WINDOWS\system32\winlib .dll
(перед точкой пробел!)
В карантин он не попал. Поищите вручную через AVZ и пришлите по правилам.
I am not young enough to know everything...
winlib .dll - по всем признакам зверь ...
Добавлено через 11 минут
пофиксите ...
выполните скрипт ...Код:O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll O2 - BHO: Invoke Class - {42A3A616-FF3C-4713-A5C2-4F1B566CEF51} - C:\WINDOWS\system32\58e1.dll (file missing)
повторите логи....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\winlib .dll'); BC_DeleteFile('C:\WINDOWS\system32\winlib .dll'); DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll'); BC_DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll'); DeleteFile('C:\WINDOWS\system32\58e1.dll'); BC_DeleteFile('C:\WINDOWS\system32\58e1.dll'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось V_Bond; 09.10.2007 в 19:02. Причина: Добавлено
восстановление отключил, строчку пофиксил, а вот файлик не нашелся... ни так, ни через AVZ...
ждем новые логи ...
Поищи файлик в AVZ по маске winlib?.dll
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
вот новые логи...
кстати можно включить восстановление теперь?
Последний раз редактировалось Antonnio; 21.01.2008 в 18:58.
вы скрипт из поста 10 не выполняли ?
Поищи файлик в AVZ по реестру по маске winlib?.dll .
Надо все-таки разобраться с этой dll.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) Antonnio, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.