Прошу помощи. Не могу удалить файл advapi32.$$$ из system32
При проверке AVZ пишет про подозрение на троянскую DLL или кейлоггер в 2 файлах: ntsock.dll и cpadvai.dll
Началось все с запуска некоего файлика xe-xe.exe, который пришел по эл.почте. В результате запуска никакой видимой реакции не произошло, а файлик благополучно исчез. После этого стал подтормаживать инет, хотя при просмотре использования сети в диспетчере задач никакой активности вроде нет. В системном каталоге (System32) появился файл advapi32.$$$, который даже если удалить, при перезапуске вновь появляется. Еще было несколько файлов с Spy.Aureate, которые AVZ удалил при лечении.
Вот вкратце и все.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Kомпьютер перегрузиться , после этого Полученный "карантинный" файл (будет в папке , где находиться сама программа AVZ ) прислать как написано в правилах .
Зайдите в AVZ - AVZPm и установите драйвер .Перегрузитесь . Желательно показать логи от авз , когда драйвер установлен .
wmplayer.exe - Поищите и пришлите , у меня в подписи написано как .
P.s. можете прислать копию advapi32.$$$ , хотя не думаю что он вредный .
P.P.S zhb.local - это что, известно ???
192.168.90.5,80.92.10.253,80.92.10.252- Ваш провайдер ?
Последний раз редактировалось drongo; 12.01.2007 в 14:39.
Выполнить скрипт в AVZ
Kомпьютер перегрузиться , после этого Полученный "карантинный" файл (будет в папке , где находиться сама программа AVZ ) прислать как написано в правилах .
Файл выслал.
Сообщение от drongo
P.P.S zhb.local - это что, известно ???
192.168.90.5,80.92.10.253,80.92.10.252- Ваш провайдер ?
P.s. можете прислать копию advapi32.$$$ , хотя не думаю что он вредный .
Этот файл тоже отправил.
Сообщение от drongo
wmplayer.exe - Поищите и пришлите , у меня в подписи написано как .
А вот этот не могу добавить в карантин. Поиск выдает 4 файла:
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}\wmplayer.exe
C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
C:\WINDOWS\system32\dllcache\wmplayer.exe
Нажимаю кнопку копировать найденные файлы в карантин - никакого результата.
Добавление в карантин по списку тоже результатов не дает. Пишет:
Процесс добавления файлов запущен
Процесс добавления файлов завершен
И все.
При просмотре карантина файлов этих там нет.
Вот новые логи, которые сделал после удаления ntsock'ов. Но wmplayer.exe все равно не могу скопировать в карантин. Хоть и пишет в протоколе, что:
Файл C:\Program Files\Windows Media Player\wmplayer.exe скопирован в карантин
Файл C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}\wmplayer.exe скопирован в карантин
Файл C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe скопирован в карантин
Файл C:\WINDOWS\system32\dllcache\wmplayer.exe скопирован в карантин
Тем не менее файлы эти в просмотре карантина не появляются.
Так значит этот файл никакого отношения к заражению не имеет? Я правильно понял?
Просто навело на сомнение его дата - время и день последней загрузки (т.е. текущей).
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: