Компьютер сильно тормозит при запуске InternetExplorer, периодически вылетает в BSOD или зависает. AVZ обнаруживает какой-то кейлоггер и ничем не удается его убить (пробовал AVZ, IceSword, Nod и в защищенном и в обычном режиме). Помогите пожалуйста.
Неубиваемые файлы
Компьютер сильно тормозит при запуске InternetExplorer, периодически вылетает в BSOD или зависает. AVZ обнаруживает какой-то кейлоггер и ничем не удается его убить (пробовал AVZ, IceSword, Nod и в защищенном и в обычном режиме). Помогите пожалуйста.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O4 - HKLM\..\Run: [lanmanwrk.exe clean] C:\WINDOWS\System32\lanmanwrk.exe clean O4 - HKLM\..\Run: [KernelDrv.exe clean] C:\WINDOWS\System32\KernelDrv.exe clean O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [NeroFilterCheck] sрoоlsv.exe O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('sрoоlsv.exe',''); QuarantineFile('C:\WINDOWS\iexplorer.exe',''); QuarantineFile('C:\WINDOWS\SSWG8-15.exe',''); QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys',''); QuarantineFile('C:\WINDOWS\System32\lanmanwrk.exe',''); QuarantineFile('C:\WINDOWS\System32\KernelDrv.exe',''); QuarantineFile('C:\WINDOWS\System32\Dll.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\datcom.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Dll.dll'); DeleteFile('C:\WINDOWS\System32\KernelDrv.exe'); DeleteFile('C:\WINDOWS\System32\lanmanwrk.exe'); DeleteFile('C:\WINDOWS\System32\lanmandrv.sys'); DeleteFile('C:\WINDOWS\SSWG8-15.exe'); DeleteFile('C:\WINDOWS\iexplorer.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winyf74'); BC_DeleteSvc('Winyf28'); BC_DeleteSvc('Winyf27'); BC_DeleteSvc('Winxe73'); BC_DeleteSvc('Winwd62'); BC_DeleteSvc('Winwd27'); BC_DeleteSvc('Winta73'); BC_DeleteSvc('Winta30'); BC_DeleteSvc('Winta28'); BC_DeleteSvc('Winta16'); BC_DeleteSvc('Winqx63'); BC_DeleteSvc('Winou62'); BC_DeleteSvc('Winnt73'); BC_DeleteSvc('Winnt27'); BC_DeleteSvc('Winms52'); BC_DeleteSvc('Winlr84'); BC_DeleteSvc('Winkq17'); BC_DeleteSvc('Winjq52'); BC_DeleteSvc('Winjp51'); BC_DeleteSvc('Wingm40'); BC_DeleteSvc('Wingm17'); BC_DeleteSvc('Windj74'); BC_DeleteSvc('Qwc16'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=39983).
Обновите базы AVZ!
Сделайте новые логи.
I am not young enough to know everything...
Файл сохранён как090218_165746_virus_499c13da07277.zipРазмер файла85579MD5d6386d5414d12cede39b41b27e165628
Сделал
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\SYSTEM32\datcom.dll',''); BC_ImportALL; BC_DeleteSvc('AudioSrvMSDTC'); BC_DeleteSvc('cprmcspMSDTC'); BC_DeleteSvc('dmadminSchedule'); BC_DeleteSvc('dmadminSchedulexmlprov'); BC_DeleteSvc('lanmanserverRemoteRegistry'); BC_DeleteSvc('lanmanworkstationRemoteRegistry'); BC_DeleteSvc('MSIServerdmserver'); BC_DeleteSvc('NtmsSvcALG'); BC_DeleteSvc('oseSCardSvr'); BC_DeleteSvc('RDSessMgrWmiApSrvRasMan'); BC_DeleteSvc('RemoteAccessdmadminSchedule'); BC_DeleteSvc('RSVPNetlogon'); BC_DeleteSvc('RSVPNtmsSvcALG'); BC_DeleteSvc('SCardSvrcprmcspMSDTC'); BC_DeleteSvc('srserviceAppMgmt'); BC_DeleteSvc('SSDPSRVNla'); BC_DeleteSvc('TapiSrvdmadminSchedule'); BC_DeleteSvc('TapiSrvsrservice'); BC_DeleteSvc('TrkWkshelpsvc'); BC_DeleteSvc('TrkWkswinmgmt'); BC_DeleteSvc('WmiApSrvNla'); BC_DeleteSvc('WmiApSrvRasMan'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=39983).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Результат загрузки
Файл сохранён как090220_095640_virus_499e5428d3f61.zipРазмер файла586MD5b1dc8115f3f543601ce367ac411b2c50
Сделал
Как будто все нормально, только странный этот datcom.dll. В гугле о нем нашел много нехорошего, однако ж AVZ его не видит и не карантинит, похоже, считает безопасным. Давайте пофиксим в HijackThis:
перезагрузимся и повторим лог HijackThis.Код:O20 - Winlogon Notify: datcom - C:\WINDOWS\SYSTEM32\datcom.dll
А файлик этот запакуйте вручную в zip или rar с паролем virus и пришлите по правилам.
I am not young enough to know everything...
Результат загрузки
Файл сохранён как090220_113640_datcom_499e6b98e6f7e.zipРазмер файла11995MD5729340fccd633326e4db8c83f3bb091d
сделал
Подождем ответа аналитиков по поводу файла...
Файл чистый...
Последний раз редактировалось Гриша; 20.02.2009 в 13:52.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\kerneldrv.exe - Backdoor.Win32.Qmop.k
- c:\windows\system32\lanmandrv.sys - Backdoor.Win32.Qmop.b (DrWEB: Trojan.NtRootKit.2676)
- c:\windows\system32\lanmanwrk.exe - Backdoor.Win32.Qmop.k
Уважаемый(ая) reclam, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
