Подозрение на остатки зловредов после лечения!
Добрый день!
После излечения кучи дряни с помощью Dr.Web.Live.CD ноутбук (до этого ноут постоянно у ходил на ребут с синим экраном, не успевая загрузиться) не хочет загружаться в безопасном режиме (черный экран и никаких действий). АВЗ ничего не ловит.
CureIT постоянно находит:
1) Процесс в памяти svchost.exe:1120 - BackDoor.Tdss.565
2) alil.dll в папке system32 - Trojan.packed.2936
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
как минимум пофиксить в hijackthis:
O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\7FFE~1\LOCALS~1\Temp\LqqB.exe/r
а я дедушка-лето !
побольше получилось
Выполнить скрипт:
Повторить логи после перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\Wintb53.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winsf14.sys',''); BC_DeleteSvc('Winsf14'); BC_DeleteSvc('WZCSVCMSIServer'); BC_DeleteSvc('UPSCFSvcs'); BC_DeleteSvc('SwPrvose'); BC_DeleteSvc('ShellHWDetection Core LC'); BC_DeleteSvc('RpcLocatorProtectedStorage'); BC_DeleteSvc('NetDDE HotKey Poller'); BC_DeleteSvc('HidServSharedAccess'); BC_DeleteSvc('ClipSrvServiceLayerFastUserSwitchingCompatibility'); BC_DeleteSvc('ClipSrvServiceLayer'); BC_DeleteSvc('AtiWmdmPmSN'); QuarantineFile('C:\DOCUME~1\7FFE~1\LOCALS~1\Temp\xeMBKqTH.sys',''); QuarantineFile('c:\wmt5sn2g.exe',''); DeleteFile('C:\DOCUME~1\7FFE~1\LOCALS~1\Temp\xeMBKqTH.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsf14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wintb53.sys'); DeleteFile('C:\DOCUME~1\7FFE~1\LOCALS~1\Temp\LqqB.exe/r'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
карантин прислать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо за оперативность! новые логи:
Последний раз редактировалось Aspergillum; 01.02.2010 в 17:59.
в дополнение:
CureIT все равно ловит
1) Процесс в памяти svchost.exe:1112 - BackDoor.Tdss.565
2) alil.dll в папке system32 - Trojan.packed.2936
BackDoor.Tdss.565 - раз это ловит, значит надо TDSSKiller пролечиться. Утилита
на сайте Касперского лежит.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Похоже здороввыслать еще раз логи на всякий?
Да, высылайте.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вот они:
Восстановление системы: включено -- не отключили. Значит, все может повториться заново.
Добавлено через 6 минут
выполнить скрипт:
Прислать карантин, если туда файл попадет.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\klmdb.sys',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 02.02.2010 в 16:06. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Отключил. Жду еще советов
Вот:
Сообщение от PavelA
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Aspergillum, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
