Большое спасибо, ничего я сам не ограничивал, пофиксил.
После выполнения скрипта и перезагрузки AVZ снова ругнулся на ту же DLL в процессе сбора информации для лога.
Прикрепляю текущие логи - осталась ли зараза?
P.S. По поводу драйвера с изменяющимся именем - ведь всё так же висит. Все видимые остатки алкоголика прибил, все скрипты рекомендованные выполнил, а всё равно AVZ показывает в списке модулей в ядре этот драйвер. + в реестре поудалял кучу ключей в разделе сервисов.... Если он каждый раз новое имя берет да ещё и в реестре себя прописывает под новым именем - это же как реестр раздуется... Помогите прибить его, плз!
P.P.S. Загружать логи с инфицированного компьютера по прежнему невозможно - приходится перекидывать на другую машину...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
@Bratez
Карантин выслал. Там снова тот же setupapi.dll.
От Daemon Tools остались только драйверы %) Попробую инсталлировать и удалить заново.
@PavelA настроек не менял.... Не могли бы Вы уточнить что именно осталось от алкоголика?
C:\Program Files\Internet Explorer\setupapi.dll в системе по-прежнему. Если файл удалить (например из FAR'а), он снова восстанавливается (это при том, что dllcache очищен, и на любой "нормальный" удалённый системный файл винды просят вставить компакт диск, т.к. восстановить неоткуда).
Как бы его ликвиднуть всё же безвозвратно?...
Добавлено через 13 минут
Filemon от Sysinternals показывает интересную вещь:
explorer.exe периодически открывает подряд 3 файла
msacm32.drv
setupapi.dll
wuasirvy.dll
Причём права доступа - "Open access:All"
Проверяет, что троян на месте похоже....
Последний раз редактировалось _RRR_; 18.12.2007 в 12:36.
Причина: Добавлено
@PavelA настроек не менял.... Не могли бы Вы уточнить что именно осталось от алкоголика?
C:\Program Files\Internet Explorer\setupapi.dll в системе по-прежнему. Если файл удалить (например из FAR'а), он снова восстанавливается (это при том, что dllcache очищен, и на любой "нормальный" удалённый системный файл винды просят вставить компакт диск, т.к. восстановить неоткуда).
Как бы его ликвиднуть всё же безвозвратно?...
В последних логах ничего от Алкоголя нет. Кстати, подозрение на этот файл по virustotal только у двух-трех антивирусов. М.б. с "мистикой"
боремся. Надо успокоится и забыть об этом файле.
кажется всё же это троян.
там, где у "приличных" исполнимых файлов таблица импорта/экспорта, у этого всякая ерунда прописана.
Да и по поведению с этой dll не всё в порядке. Лучше от неё избавиться.
"http://downloads.andymanchesta.com/R...ools/SDFix.exe "
NOD опознал какойто ProcView или чтото подобное. Удалил в свой карантин при сохранении. Может быть лучше подозрительных файлов в систему не добавлять?
Добавлено через 15 минут
wuasirvy.dll - поиск по инету показывает, что троян.
Надо убивать....
Последний раз редактировалось _RRR_; 18.12.2007 в 14:23.
Причина: Добавлено
Спасибо, сейчас опробую.
А пока вот содержимое wuasirvy.dll
[g]
l=345345
j=28305115
y=30
v=uttcomm/vpe:pbfgp:/mfxmp:asv.gbva
n=uttcomm/vpe:pbfgp:/mfxmnqqgcuc
Да, пока вроде больше никаких проявлений заразы не вижу... до поры до времени %) Остаётся только гадать сколько там ещё dll сидит левых - такая огроменная куча файлов...
Спасибо всем за помощь!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от _RRR_
