-
Junior Member
- Вес репутации
- 59
Ошибка доступа к сетевым ресурсам "Не запущена служба сервера", Backdoor.Win32.Hijack.an находится, но не удаляется
Помогите, пожалуйста, побороть заразу.
Основной симптом: ошибка при обращении к сетевым ресурсам ""Нет доступа к \\Server, возможно, отсутствуют права доступа к этому сетевому ресурсу бла-бла-бла... Обратитесь к администратору" и ниже "Не запущена служба сервера". Сообщение об ошибке сокращено, ибо его оригинал на украинском, пардон!
Соответственно, отсутствует доступ к файл-шарам и сетевым принтерам.
Служба сервера запущена и работает, права на доступ к ресурсам есть.
В списке процессов постоянно висит процесс с названием вида *.tmp
Под * имеется ввиду названия файлов, разных, обычно 3 символа - 2 буквы и одна цифра.
AVP Removal Tool в безопасном режиме находит и удаляет Backdoor.Win32.Hijack.an в файле C:\WINDOWS\system32\phlxezn.dll и Trojan-Downloader.Win32.Agent.bmrq в файлах C:\WINDOWS\Temp\*.tmp соответственно. CureIt - аналогичная реакция, другие название для тех же файлов.
После перезагрузки ситуация повторяется, процесс висит, шары недоступны.
Логи прилагаются, заранее большое спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы.
Отключите антивирус.
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\Temp\BN2.tmp','');
QuarantineFile('pxlerw.dll','');
BC_DeleteSvc('ICF');
BC_DeleteSvc('Winxe05');
BC_DeleteSvc('Winvc40');
BC_DeleteSvc('Winub73');
BC_DeleteSvc('Winrx51');
BC_DeleteSvc('Winrw27');
BC_DeleteSvc('Winnt73');
BC_DeleteSvc('Winlr62');
BC_DeleteSvc('Winio38');
BC_DeleteSvc('Winhn84');
BC_DeleteSvc('Winfl62');
BC_DeleteSvc('Winbh27');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati2yexx.sys','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2yexx.sys');
DeleteFile('pxlerw.dll');
DeleteFile('C:\WINDOWS\Temp\BN2.tmp');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Установите Adobe Acrobat Reader 9.1 или удалите старый.
-
-
Junior Member
- Вес репутации
- 59
Карантин выслан. Лог по пункту 2 диагностики во вложении.
Старый Acrobat Reader удален.
-
Скачать IceSword, слева в низу кнопка File, появится аналог проводника, найти:
Код:
C:\WINDOWS\System32\Drivers\ati2yexx.sys
правая кнопка мыши, Copy. Сохраните где-нибудь, задав некое имя. Загрузите сохраненный файл по ссылке http://virusinfo.info/upload_virus.php?tid=42413
Затем, в IceSword на том же файле правая кнопка мыши, Force Delete. На запрос о перезагрузке ответьте положительно.
-
-
Junior Member
- Вес репутации
- 59
Файл отправлен и удален. Отправляю с другого компьютера, Касперский 2009 до архивации с паролем на лету его идентифицировал как Rootkit.Win32.Protector.cd
-
Делайте новые логи и пробуйте как работает компьютер.
-
-
Junior Member
- Вес репутации
- 59
Пардон за задержку, не было доступа к "телу" компьютера.
Доступ к файловым шарам и принтерам восстановился. Выглядит так, будто все Ок.
Вызывает подозрение, однако, что:
1. Установленный заново KAV 2009 уже после удаления файла ati2yexx.sys и перезагрузки опять ругнулся на файл C:\WINDOWS\system32\phlxezn.dll, после чего потребовал срочно просканировать компьютер на предмет рут-китов.
2. В свежих логах AVZ все равно есть ссылки на "нечисть"
Логи вложены в сообщение. Спасибо за помощь!
-
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Temp\BN4.tmp','');
DeleteService('ati2yexx');
DeleteService('VSSRemoteAccess');
DeleteFile('pxlerw.dll');
DeleteFileMask('C:\WINDOWS\Temp', '*.tmp', true);
ExecuteSysClean;
end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 59
Карантин выслан. Логи по п.2 Диагностики во вложении.
-
Похоже, зараза побеждена.
-
-
Junior Member
- Вес репутации
- 59
Ага. AndreyKa, спасибо большое за помощь!
Добавлено через 9 минут
Сорри за оффтоп от лопуха
А как закрыть тему? Или она сама закроется со временем?
Последний раз редактировалось vinibee; 25.03.2009 в 13:46.
Причина: Добавлено
-
Через Опции темы. И тема сама-сабой закроется.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- \ati2yexx.sys - Rootkit.Win32.Protector.cd ( DrWEB: BackDoor.Bulknet.240, BitDefender: Rootkit.Kobcka.A )
- c:\windows\system32\pxlerw.dll - Backdoor.Win32.Hijack.an ( BitDefender: Trojan.FakeAlert.ABZ )
- c:\windows\system32\svchost.exe:ext.exe:$data - Trojan-Downloader.Win32.Agent.bmrg ( BitDefender: Gen:Trojan.Heur.P20708FDFDF )
- c:\windows\temp\bn2.tmp - Backdoor.Win32.Small.hgi ( BitDefender: Trojan.Downloader.JLOE )
- c:\windows\temp\bn4.tmp - Backdoor.Win32.Small.hgi ( BitDefender: Trojan.Downloader.JLOE )
-