-
Junior Member
- Вес репутации
- 53
Подозрение на остатки зловредов после лечения!
Добрый день!
После излечения кучи дряни с помощью Dr.Web.Live.CD ноутбук (до этого ноут постоянно у ходил на ребут с синим экраном, не успевая загрузиться) не хочет загружаться в безопасном режиме (черный экран и никаких действий). АВЗ ничего не ловит.
CureIT постоянно находит:
1) Процесс в памяти svchost.exe:1120 - BackDoor.Tdss.565
2) alil.dll в папке system32 - Trojan.packed.2936
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
как минимум пофиксить в hijackthis:
O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\7FFE~1\LOCALS~1\Temp\LqqB.exe/r
-
побольше получилось
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintb53.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsf14.sys','');
BC_DeleteSvc('Winsf14');
BC_DeleteSvc('WZCSVCMSIServer');
BC_DeleteSvc('UPSCFSvcs');
BC_DeleteSvc('SwPrvose');
BC_DeleteSvc('ShellHWDetection Core LC');
BC_DeleteSvc('RpcLocatorProtectedStorage');
BC_DeleteSvc('NetDDE HotKey Poller');
BC_DeleteSvc('HidServSharedAccess');
BC_DeleteSvc('ClipSrvServiceLayerFastUserSwitchingCompatibility');
BC_DeleteSvc('ClipSrvServiceLayer');
BC_DeleteSvc('AtiWmdmPmSN');
QuarantineFile('C:\DOCUME~1\7FFE~1\LOCALS~1\Temp\xeMBKqTH.sys','');
QuarantineFile('c:\wmt5sn2g.exe','');
DeleteFile('C:\DOCUME~1\7FFE~1\LOCALS~1\Temp\xeMBKqTH.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsf14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintb53.sys');
DeleteFile('C:\DOCUME~1\7FFE~1\LOCALS~1\Temp\LqqB.exe/r');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить логи после перезагрузки.
карантин прислать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Спасибо за оперативность! новые логи:
Последний раз редактировалось Aspergillum; 01.02.2010 в 17:59.
-
Junior Member
- Вес репутации
- 53
в дополнение:
CureIT все равно ловит
1) Процесс в памяти svchost.exe:1112 - BackDoor.Tdss.565
2) alil.dll в папке system32 - Trojan.packed.2936
-
BackDoor.Tdss.565 - раз это ловит, значит надо TDSSKiller пролечиться. Утилита
на сайте Касперского лежит.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Похоже здоров выслать еще раз логи на всякий?
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
-
Восстановление системы: включено -- не отключили. Значит, все может повториться заново.
Добавлено через 6 минут
выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\klmdb.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин, если туда файл попадет.
Последний раз редактировалось PavelA; 02.02.2010 в 16:06.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Отключил. Жду еще советов
-
Вот:
Сообщение от
PavelA
выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\klmdb.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин, если туда файл попадет.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения вредоносные программы в карантинах не обнаружены
-