-
Junior Member
- Вес репутации
- 60
StorageProtector снова
Здравствуйте.
У меня проблема аналогичная http://virusinfo.info/showthread.php?t=15578.
Вчера прогнал AVZ, ярлыки и tmp-файлы удалось удалить, но подозрения есть что не всё пофиксилось и удалилось.
PS :7 пункт правил не смог сделать, происходит ошибка в rundll32.exe и просит отослать отчёт, пришлось отключить саму службу.
С нашим тормозным инетом аттачи почему-то в тему не прекрипились, хотя в профиле они лежат.
Это как-то можно изменить?
Последний раз редактировалось LongSnake; 19.02.2008 в 15:58.
Причина: аттачи не приклеились в тему
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 60
С утра вроде инет потолще, пока все спят. Вот логи
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('E:\WINDOWS\system32\sexvkota.dll','');
QuarantineFile('E:\WINDOWS\system32\ocntksjt.dll','');
QuarantineFile('ziswin.exe','');
QuarantineFile('winpez32.dll','');
QuarantineFile('ocntksjt.dll','');
QuarantineFile('efcdeba.dll','');
QuarantineFile('E:\WINDOWS\system32\winpez32.dll','');
QuarantineFile('E:\WINDOWS\system32\tusqn.dll','');
QuarantineFile('E:\WINDOWS\system32\spxceocl.dll','');
QuarantineFile('E:\WINDOWS\system32\efcdeba.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 60
Да ёлки-палки... при загрузке карантина поймал таймаут. Загрузился архив?
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Загрузил.
Спасибо за терпение моего торможения :-)
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\WINDOWS\system32\efcdeba.dll');
DeleteFile('E:\WINDOWS\system32\sexvkota.dll');
DeleteFile('E:\WINDOWS\system32\spxceocl.dll');
DeleteFile('E:\WINDOWS\system32\tusqn.dll');
DeleteFile('E:\WINDOWS\system32\winpez32.dll');
DeleteFile('E:\WINDOWS\system32\ocntksjt.dll');
DelBHO('{ae92b5d6-d133-4aae-af38-8800efce0bb8}');
DelBHO('{A95B2816-1D7E-4561-A202-68C0DE02353A}');
DelBHO('{A337608D-3BE6-4551-8262-99AC41A476B6}');
DelBHO('{8CD034DD-E9AD-47D3-8689-51886345799C}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
Добавлено через 2 минуты
ziswin.exe - попробуйте разыскать через AVZ - Сервис - Поиск файлов на диске.
Последний раз редактировалось Bratez; 20.02.2008 в 15:48.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
ziswin.exe не нашёлся, возможно симантек его убил, хотя в логе симантека нет этого имени,а вот
E:\WINDOWS\system32\tusqn.dll и E:\WINDOWS\system32\ocntksjt.dll есть и якобы удалены.
-
Junior Member
- Вес репутации
- 60
Простите, забыл ещё один..
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
RegKeyParamDel('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'System');
QuarantineFile('E:\WINDOWS\system32\ddaaw.dll','');
DeleteFile('E:\WINDOWS\system32\ddaaw.dll');
DelBHO('{8CD034DD-E9AD-47D3-8689-51886345799C}');
DelBHO('{6811D74D-C03B-423E-94D7-125295B239EB}');
DelBHO('{0E9186C1-AF28-4E9A-8107-953E57116282}');
DelWinlogonNotifyByKeyName( 'efcdeba');
DelWinlogonNotifyByKeyName( 'ocntksjt');
DelWinlogonNotifyByKeyName( 'winpez32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите новый карантин.
Сделайте два последних лога еще раз.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
-
пофиксите ...
Код:
O2 - BHO: (no name) - {DD615BD8-7BF8-4876-8FEA-2211DC6B0D76} - E:\WINDOWS\system32\ddaaw.dll (file missing)
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\WINDOWS\system32\ddaaw.dll');
DelBHO('{DD615BD8-7BF8-4876-8FEA-2211DC6B0D76}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
повторите hijackthis.log
-
-
Рекомендуется отключить все что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
С антивирусами разберитесь. Сочетание симантека со старой версией Касперского не прибавляет ни защиты ни производительности. Антивирус должен быть один, по возможности свежей версии.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Всем при огромнейшее спасибо!!!! респект и тд. :-)
По большому счёту, на основе ваших ответов, я уже сам понял как анализировать логи, и как делать скрипты.
Ещё раз спасибо, реально помогли.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 27
- В ходе лечения обнаружены вредоносные программы:
- e:\\windows\\system32\\ddaaw.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.274)
- e:\\windows\\system32\\efcdeba.dll - not-a-virus:AdWare.Win32.Virtumonde.dro (DrWEB: Trojan.Virtumod.240)
- e:\\windows\\system32\\sexvkota.dll - Trojan.Win32.Monder.cj (DrWEB: Trojan.Virtumod.269)
- e:\\windows\\system32\\spxceocl.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.272)
- e:\\windows\\system32\\winpez32.dll - Trojan.Win32.Dialer.yz (DrWEB: Trojan.Mezzia.91)
-