-
Junior Member
- Вес репутации
- 65
троян с расширением .sys в C:\windows\system32\drivers
Предыдущая моя тема еще не закончена: http://virusinfo.info/showthread.php?t=39887
Но я решил создать новую, т.к. возникла новая проблема.
Один из сайтов, с которым я работаю, взломали и в индексную страницу вставили <iframe c какой-то заразой. Перестали открываться страницы в браузере, потом стал виснуть комп, вывелось сообщение с обратным отсчетом и комп перезагрузился. Хочу заметить, что из-за того что по предыдущей проблеме не было окончательного ответа, восстановление системы оставалось отключенным.
Запустил в безопасном режими CureIT - отловил трояна с расширением .sys в C:\windows\system32\drivers и удалил его, но при повторных перезагрузках CureIT снова отлавливает там же трояна с меняющимся названием файла.
Присоединяю логи
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\azdlib.dll','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('C:\Documents and Settings\Alex\Alex.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ppthechlllijwmz.sys','');
DeleteService('oigofocv');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ppthechlllijwmz.sys');
DeleteFile('C:\Documents and Settings\Alex\Alex.exe');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\azdlib.dll');
DeleteFile('C:\WINDOWS\pagepromoterbar.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи.
Загрузить карантин по http://virusinfo.info/upload_virus.php?tid=40360
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 65
Скрипт выполнил, обновил логи:
-
А карантин где?
Добавлено через 2 минуты
Профиксить:
Код:
O2 - BHO: azdlibP - {4B5DF7B5-5FAB-4547-8420-35CFF12A2263} - C:\Documents and Settings\All Users\Application Data\azdlib.dll (file missing)
O3 - Toolbar: &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - C:\WINDOWS\pagepromoterbar.dll (file missing)
Лог Хиджака повтори. Проблемы на компьютере есть?
Последний раз редактировалось PavelA; 25.02.2009 в 10:53.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 65
Прошу прощения, про карантин в прошлый раз забыл.
Пофиксил только вторую строку, т.к. первой не нашел.
Я до получения ответа еще раз решил сделать полную провеку при помощи CureIT и удалил как adware файл под названием azdlib.dll.dll - возможно поэтому и не нашел. Кроме этого, нашел и удалил Trojan.PWS.ICQSniff.25 и поудалял некоторые файлы из карантина, так что присланный карантин может быть не полным.
На всякий случай еще раз собрал все логи.
Видимых проблем пока нет.
Восстановление системы уже можно включить?
-
Достались в карантине разные трояны, плюс парочка интересных файлов.
Ответ по ним будет позже.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 65
Интересно, все же, что там за интересные файлы?
Восстановление системы можно включить?
-
Ответ вот такой из ЛК:
Здравствуйте,
В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.
На всякий случай почисть карантин Др.Веба. Думаю, что "восст. системы" можно включать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 65
Спасибо, Павел!
А что сей новый зловред делал? Каково его назначение?
P.S. папка карантина в DoctorWeb не открывается, поэтому я удалил ее целиком. Правильно сделал?
-
Мы не знаем на какой файл они добавили детект
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\alex\alex.exe - Trojan-Dropper.Win32.Small.cuk (DrWEB: Trojan.DownLoad.28430)
- c:\documents and settings\all users\application data\azdlib.dll - Trojan-Ransom.Win32.Hexzone.agl
- c:\windows\system32\digeste.dll - Trojan-Dropper.Win32.Small.cum (DrWEB: Trojan.Inject.5512)
-