Показано с 1 по 17 из 17.

Требуется помощь с заразой в папке system32 (заявка № 43920)

  1. #1
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    9
    Вес репутации
    55

    Exclamation Требуется помощь с заразой в папке system32

    Есть как минимум 2 файла, которые никак не хотят удаляться:
    dmserver.dll
    sens.dll
    похоже, что зацепил их, когда случайно нажал на рекламный баннер сайте с полнометражным кино. Из-за них у меня регулярно плодятся всякие Трояны, шпионы и прочая напасть.

    IE не открывается впринципе, система ужасно тормозит, иногда создается впечатление, что мышка блокируется.

    Время от времени, бывают периоды (уже месяц как не наблюдалось, но всё-таки это было), когда браузер открывался сам собой и начинал соединять с какими-то японскими или китайскими сайтами. Соединений было огромное множество, до несокольких сотен в минуту.

    ЛОГ по системе прилагается, если требуется что-то ещё - говорите, я дополню

    Заранее спасибо,
    Volpino Nero
    Вложения Вложения
    Последний раз редактировалось volpinonero; 15.04.2009 в 23:27.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
     QuarantineFile('C:\Program Files\Siber Systems\AI RoboForm\roboform.dll','');
     QuarantineFile('c:\windows\system32\dmserver.dll','');
     QuarantineFile('c:\windows\system32\sens.dll','');
     ExecuteRepair(6);
     ExecuteRepair(8);
    end.
    пришлите карантин согласно приложения 3 правил

  4. #3
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    9
    Вес репутации
    55
    Послал

  5. #4
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    9
    Вес репутации
    55
    Что-то ещё нужно прислать?
    Судя по результатам проверки у меня:
    Trojan-Downloader.Win32.Agent.alxc
    Packed.Win32.Krap.c
    Backdoor.Win32.KeyStart.cb

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    c:\windows\system32\dmserver.dll
    c:\windows\system32\sens.dll


    Эти файлы патченные, их надо восстановить из дистрибутива или скопировать из здоровой системы той же версии. Отключите восстановление системы и сделайте это в безопасном режиме.

    Потом сделайте комплект логов AVZ и HijackThis, как описано в разделе Диагностика правил.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    9
    Вес репутации
    55
    Так.. сделаю всё с удовольствием, только помогите ламеру..
    аналогичную здоровую систему, не уверен что найду.
    А вот как достать это из дистрибутива???

  8. #7
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    9
    Вес репутации
    55
    ну или хотябы подсткажите, как определить "идентичность" систем?

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    что вам проще найти дистрибутив с сп3 или установленную систему с ним же ?

  10. #9
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    9
    Вес репутации
    55
    Значится так. Достал файлы, зашел в сейф мод. sens.dll заменился без проблем а вот dmserver.dll заявил, что его использует другое приложение и ничего нельзя сделать.

    Логи прилагаются
    Последний раз редактировалось Rene-gad; 20.04.2009 в 20:10. Причина: Логи нужно сделать ПОСЛЕ замены файлов!!!

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от volpinonero Посмотреть сообщение
    Достал файлы, зашел в сейф мод.
    В SafeMode Вы ничего не сделаете. Надо загрузиться в косоли восстановления или с Live CD (BartPE или Knoppix). Для последнего - не ходите на русскую станицу, там Вам предложат его купить, хотя Knoppix, как и любая другая дистри Linux, подлежит GNU License и потому бесплатен.

  12. #11
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    9
    Вес репутации
    55
    Логи были сделаны после замены одного из файлов... второй не заменился.
    Сейчас попробую сделать то что вы советуете

    Повторюсь, один из файлов был заменен и больше не определяется как зараженный.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от volpinonero Посмотреть сообщение
    Логи были сделаны после замены одного из файлов... второй не заменился.
    Если на Вашем велосипеде 2 колеса лопнули, а Вы одно залатали, далеко поедем? То то

  14. #13
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    9
    Вес репутации
    55
    Ну понятно-понятно)) я попробую через BartPE

    Добавлено через 3 минуты

    так, возникает вопрос - я построю этот ISO образ через BARTPE а что дальше то делать?
    Последний раз редактировалось volpinonero; 20.04.2009 в 20:29. Причина: Добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    dmserver.dll заявил, что его использует другое приложение и ничего нельзя сделать.
    Нужно было переименовать его скажем в dmserver.bak, потом скопировать правильный файл и перезагрузить компьютер, после чего bak удалить. Такой финт обычно прокатывает
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    15.04.2009
    Сообщений
    9
    Вес репутации
    55
    Хах, господа, а похоже что заразу всё-таки добил антивирус. Проверил и Virus Removal Tool и AVZ и MCfee - нету ничего).
    Что делаем?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от volpinonero Посмотреть сообщение
    Что делаем?
    Новые логи, естественно.
    I am not young enough to know everything...

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\dmserver.dll - Trojan.Win32.Patched.dt ( BitDefender: Trojan.Dmservinf.A )
      2. c:\windows\system32\sens.dll - Trojan.Win32.Patched.eh ( DrWEB: Trojan.Starter.881, BitDefender: Trojan.Patched.BD )


  • Уважаемый(ая) volpinonero, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. vde3nju1.sys, ute3nju1.sys в папке system32
      От nana_MeDBeD в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.09.2010, 20:01
    2. вирусы в папке system32
      От feesh в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 26.07.2010, 12:44
    3. постоянно руткит X в папке system32
      От Corruptor в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 27.10.2009, 17:57
    4. постоянно руткит X в папке system32
      От Diagnoz в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.09.2009, 17:22
    5. Что это за файлы в папке system32?
      От MDM в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 21.03.2008, 12:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00581 seconds with 20 queries