Доброе время суток.
Подхватил на железного коня пару зверей.
Сижу за вебом и за Sygate Personal Firewall.
Затащил гадость через осла,скачал прогу, открыл кряк.
Пункты 8 и 10 выполнить не смог, так как после, того как отмечаю
"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты"
комп тупо уходит в перегруз.
Ставил винду на другой диск и прогонял выбом, он вроде всё нашел, удалил, но при возращение на старую систему и подключение Интернета всё возвращается.
Буду рад любой помощи.
С Уважением Xlor .
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В этой ситуации стоит поступить так:
1. Проверить системный диск при помощи AVZ, не включая противодейстсвие руткитам
2. Не выходя из AVZ зайти в "Файл/Исследование системы" и выполнить исследование с параметрами по умолчанию.
3. Полученный на шаге 2 протокол исследования системы запостить сюда
Возможно.
Но Xen имел в виду вот это:
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
================================================
Удалить можно и вручную:
Пуск - Выполнить - regedit.
Открыть раздел:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
Там в нормальном варианте должны быть только:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c, 00
Смотреть стоит по имени либо по DLLName - оно указывает на загружаемый файл.
(Hекоторые программы тоже используют этот раздел, к примеру, PcAnywhere).
Лечение довольно простое - находим сначала левый раздел.
К примеру, у Backdoor.Bech это
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\2006reg
"DLLName"="C:\Settings\2006.dll"
у Backdoor.Uragan:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\00Hedgie00reg]
"DllName"="C:\\Documents and Settings\\All Users\\?????????\\Settings\\00Hedgie00.dll"
Как видно, DllName четко указывает файл трояна. С путем .
Hа троянский раздел (2006reg, 00Hedgie00reg и т.п. в Notify) в regedit
устанавливаем запреты всем на всё (останется только для создателя/владельца, его не запретишь, да это и не нужно). Удалять там что-то бесполезно - троян все равно всё свое восстановит. Фишка в том, что эти запреты подействуют на саму винду - она не станет читать такой раздел и соответственно не загрузит троян при следующей перезагрузке (видимо, достаточно запретить для SYSTEM, но я запрещал всем кроме создателя/владельца).
Перезагружаемся, прибиваем файлы трояна и потом уже удаляем его раздел из реестра (предварительно сняв запреты). Всё.
================================================
А упомянутый Вами Adware.Look2Me прибивается спайдером. Надо временно перевести его из оптимального режима в режим проверки "Запись и открытие" + "Создание и запись" и перезагрузиться. После загрузки прибить неработающие остатки сканером.
Необходимо прислать для изучения в соответствии с правилами следующие файлы:
c:\program files\drwu\drwu.exe
C:\WINDOWS\system32\ldr64.dll
C:\PROGRA~1\TROJAN~1\Trshlex.dll
После этого выполнить следующее:
1. Включить AVZ Guard
2. Отложенным удалением удалить файл ldr64.dll
3. Не выходя из AVZ и не выключая AVZ Guard перезагрузиться
4. Сделать новый лог и убедиться, что ldr64.dll исчез
Так, начну по порядку
c:\program files\drwu\drwu.exe это утилита для обновлений веба,
C:\WINDOWS\system32\ldr64.dll
это, как я понимаю, сам зверь.
После всех выполнимых действий, вот этого C:\PROGRA~1\TROJAN~1\Trshlex.dll а.
в отчёте больше не видел.
Всем спасибо.
Зверь скорее мертв, чем жив.
Прикладываю отчёт о проделанной работе. Xen, кстати, а мы оказывается земляки.
Уважаемый(ая) xlor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: