Попытка 2 Не удаляются Касперским winnt64.dll и Lll34.sys
После заражения пытался совместно с Kav5 самостоятельно избавиться от этого трояна.
Удалось удалить tcpsr.sys из D:\WINDOWS\system32\drivers и почистить часть реестра на вхождение строки 'Lll34'. Большую часть веток/ключей удалить не удалось.
Указанные в заголовке темы файлы тоже не удаляются.
Потом нашел Ваш сайт.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл D:\WINDOWS\system32\Drivers\Lll34.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\WINDOWS\system32\Drivers\Lll34.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Lll34'); BC_Activate; RebootWindows(true); end.
Очистите временные папки и кеш браузера.
Файл winnt64.dll в логах не видно, где его видит антивирус? Пришлите этот файлик нам и скопированный Вами в IceSword файл в архиве с паролем virus сюда http://virusinfo.info/upload_virus.php?tid=24450 .
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
После удаления lll34.sys из программы IceSword и выполнения скрипта, стало возможным удалить winnt64.dll из D:\WINDOWS\system32 руками.
Что и сделал. Вроде бы на данный момент проблема решена. В логах AVZ и HJ - чисто. Большое спасибо.
В момент заражения:
1. Кав5 нашел в "Temporary Internet Files" два файла. Я их удалил.
2. Во временной папке тоже появился некий файлик. Тоже удалил ручками. На всякий случай.
3. В D:\WINDOWS\system32 появились 4 однотипных файлика. Три из них удалось удалить руками, кроме winnt64.dll, удаление, которого и контролировал/запрещал lll34.sys. Все 4 файла в архиве.
4. В D:\WINDOWS\system32\drivers удалил руками tcpsr.sys. Уж не знаю, правильно или нет. ;-)
У меня траблы с вложениями, видимо ;-)
Вроде бы все делаю правильно.
Но файл с архивом dll-ек не появляется
Добавлено через 5 минут
еще одна попытка.
что ж такое-то?
Последний раз редактировалось alex_zar; 11.06.2008 в 22:31. Причина: Добавлено
О! С третьей попытки!
Или четвертой? ;-))))))))))
Последний раз редактировалось Shu_b; 12.06.2008 в 00:12.
Архив здесь нельзя прикреплять, удалите. Его нужно закачивать сюда http://virusinfo.info/upload_virus.php?tid=24450
P.S. В логах ничего подорительного не заметил. Советую выполнить пункт 2 правил.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 0
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) alex_zar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
