Добрый день,
Avira в какой-то момент обнаружила TR/Patched.BU.6 Trojan, удалось его вроде выковырять самостоятельно, но есть подозрение, что хвосты остались. Посмотрите, пожалуйста, логи!
Добрый день,
Avira в какой-то момент обнаружила TR/Patched.BU.6 Trojan, удалось его вроде выковырять самостоятельно, но есть подозрение, что хвосты остались. Посмотрите, пожалуйста, логи!
Последний раз редактировалось Rene-gad; 22.09.2008 в 16:16. Причина: КАРАНТИН В ТЕМЕ 1-е ПРЕДУПРЕЖДЕНИЕ
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ddmon.dll',''); QuarantineFile('C:\$\RDSS\!debug\SupportServer.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys',''); DeleteService('runtime2'); DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); DeleteFile('C:\WINDOWS\system32\ddmon.dll'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); BC_DeleteSvc('runtime2'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.
при выполнении скрипта (как впрочем и всегда при запуске AVZ) вылезла такой мессаджбокс:Cannot set 'DisplayName'
и ошибка в логе:
"Ошибка в работе антируткита [Access violation at address 00404D1F in module 'avz.exe'. Read of address 4F444E49], шаг [11]"
скрипт прервался
после ручной перезагрузки запустил его же в безопасном режиме, на этот раз вроде отработал
новые логи - в приложении
в карантине - в дополнение к запрошенным - исходный троян (dmserver.dll)
Последний раз редактировалось drongo; 23.09.2008 в 00:35.
прошу прощения, только сейчас дошло, что virusinfo_cure.zip - это и есть карантин; как удалить его из сообщения - не нашел;
у Вас в правилах (http://virusinfo.info/showthread.php?t=1235) кстати написано:
"вложите в сообщение файлы логов, полученных в процессе диагностики (AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log) - всего должно быть 3 лога. Мы постараемся помочь Вам. "
вот я все три и прикрепил..
читали правила не внимательно... нужен virusinfo_SYScure.zip
пофиксите
зловредного ничего в логах нетКод:O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: (no name) - {C7098CEE-E983-4A13-BD29-9C32E0A3680B} - (no file)
такого не было, только virusinfo_cure.zip :\ потому и перепутал
больше не повторится
Добавлено через 40 минут
спасибо за помощь!
если можно, посмотрите пожалуйста еще два странных .sys файла в карантине (просто лежат в system32/drivers, имена какие-то странные); паранойа - но BSOD уже четвертый раз за сегодня )
Последний раз редактировалось lxa; 23.09.2008 в 01:27. Причина: Добавлено
Давайте не будем играть в загадки.
1. Какие файлы подозрительны?
2. Что написано на БСОД? Если есть возможность сделать фотографию - прикрепите ее к сообщению.
Файлы добавил через "Прислать запрошенный карантин".. Прикрепить к сообщению?
(файлы: A909D4BFCD.sys, KGyGaAvL.sys)
БСОД - к сожалению, только сейчас отключил немедленную перезагрузку после БСОД - так что жду следующего.
Последний раз редактировалось lxa; 23.09.2008 в 11:25. Причина: имена файлов
вирлаб промолчал - т.е. драйверы безобидные?
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- \\dmserver.xxx - Trojan.Win32.Patched.dl (DrWEB: Trojan.Starter.544)
Уважаемый(ая) lxa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.