-
Junior Member
- Вес репутации
- 63
Поселился Backdoor.Win32.Agent.uu Файл: C:\Temp\maindll.dll
Здравствуйте уважаемые. У меня проблема состоит в том что после удаления вируса (не помню название),на диске С в папке темр стал появляться файл maindll.dll. Каждый раз он обнаружен антивирусом ,но после перезагрузки системы он появляется вновь и вновь.Стал искать ответ в и-нете,и очень рад что поисковик вывел меня к вам.Очень надеюсь на вашу помощь. Спасибо!
Последний раз редактировалось Славик; 06.02.2007 в 20:40.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Нет времени писать инструкцию, для других что бы не прозевали
>>>> Подозрение на RootKit pe386 C:\WINDOWS\system32:lzx32.sys
-
-
Сообщение от
Geser
Нет времени писать инструкцию
Мда коллекция ...
AVZ - Файл=>Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll','');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll','');
QuarantineFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL','');
QuarantineFile('logonui.exe','');
QuarantineFile('C:\WINDOWS\system32\taskdir.exe','');
QuarantineFile('C:\WINDOWS\system32\kernels88.exe','');
QuarantineFile('C:\WINDOWS\system32\adirss.exe','');
QuarantineFile('C:\WINDOWS\system32\jitdt.dll','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
DelWinlogonNotifyByKeyName('winsys2freg');
DeleteFile('C:\WINDOWS\system32\jitdt.dll');
DeleteFile('C:\WINDOWS\system32\adirss.exe');
DeleteFile('C:\WINDOWS\system32\kernels88.exe');
DeleteFile('C:\WINDOWS\system32\taskdir.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
DeleteFile('C:\WINDOWS\system32:lzx32.sys:$DATA');
DeleteFile('C:\WINDOWS\system32:lzx32.sys');
DeleteFile('C:\WINDOWS\system32\lzx32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('PE386');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
1. Прислать то, что попадёт в карантин КАК НАПИСАНО в правилах.
2. Повторить все логи и добавить ещё boot_clr.log из каталога AVZ.
3. Скачать CureIt и проверить им весь диск C:
4 После выполните ещё такой скрипт -
Код:
begin
SetAVZPMStatus(False);
end.
-
-
Junior Member
- Вес репутации
- 63
Сделал всё до пункта 2.(Повторить все логи и добавить ещё boot_clr.log из каталога AVZ.) Если можно подробнее что значит повторить все логи?-и куда добавить boot_clr.log ? Спасибо!
-
Повторить логи - то, что ты делал вначале. А в директории Logs, там где АВЗ живет д.б. еще лог boot_clr.log.
Их и надо прислать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
boot_clr.log Должен был создаться в каталоге AVZ, плюс 3 лога из правил, итого 4 файла - ждём.
-
-
Junior Member
- Вес репутации
- 63
Секундочку,я отлучался.Выполняется скрипт и сразу вышлю.
Ребят я чего-то не догоняю,пишет-Вы уже вложили этот файл в теме : Поселился Backdoor.Win32.Agent.uu Файл: C:\Temp\maindll.dll и даёт добро на три из них только. Почему?
Всё получилось,я первоначально кое что не доделал.Теперь порядок.
-
Junior Member
- Вес репутации
- 63
Последний раз редактировалось Славик; 07.02.2007 в 22:40.
-
Сообщение от
Славик
Ребят я чего-то не догоняю,пишет-Вы уже вложили этот файл в теме : Поселился Backdoor.Win32.Agent.uu Файл: C:\Temp\maindll.dll и даёт добро на три из них только. Почему?
В правилах написано как искать и присылать файлы, в верху этого топика есть ссылка Прислать запрошенные файлы - Файлы надо присылать через ссылку вверху топика, а логи прикреплять к теме, и посмотрите в своём профиле на форуме список вложенных файлов скорее всего доступное место просто закончилось..
-
-
Junior Member
- Вес репутации
- 63
Начинаю проверку диска.
всё RiC я выслал,теперь начинаю проверку диска скачанной прогой.
Качаю с др.сайта CureIt, а то закачанная с первого, не запускалась.
-
c:\windows\system32\r_server.exe это ставили сами?
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
Geser
c:\windows\system32\r_server.exe это ставили сами?
Да это радмин прога через которую админ нашей сетки может войти на мой комп для решения проблем....
-
Junior Member
- Вес репутации
- 63
не могу установить CureIt. Даёт ошибку и всё. Что может быть?
-
C:\WINDOWS\system32\jitdt.dll Trojan.Spambot.BXB
c:\windows\system32\winlogon.exe Определяется как Trojan.Keylogger.iOpus.A тут проблема. Дело в том что это системный файл, и просто удалять его нельзя. Нужно найти чистый и заменить
-
-
Junior Member
- Вес репутации
- 63
Т.е. как я понял первый удалить можно? И ещё где я могу поискать второй чистый?_может попросить у кого-то в локалке что-б копировали со своего компа и передали мне?
-
Сообщение от
Славик
Т.е. как я понял первый удалить можно? И ещё где я могу поискать второй чистый?_может попросить у кого-то в локалке что-б копировали со своего компа и передали мне?
Да, первый удалить. Второй взять у кого-то можно. Только проверить что версии совпадают. При замене обратить внимание что винда не поменяла его обратно на зараженный.
-
-
Junior Member
- Вес репутации
- 63
Ок спасибо. А почему не нахожу первый jitdt.dll ? Он виден только в карантине AVZ ,и там-же я его выбрал и нажал кнопку удалить. Он удалился с компа или из списка только?
-
Сообщение от
Славик
не могу установить CureIt. Даёт ошибку и всё. Что может быть?
Скачался с ошибкой.
Пуск=>Выполнить 2 команды
net stop tlntsvr
sc config tlntsvr start= disabled
На "сладкое" остался "крякнутый" каким-то трояном winlogon.exe доставайте компакт диск с дистрибутивом Windows -
Пуск=>Выполнить sfc /scannow если дистрибутива нет подождите день-два, возможно или KAV или WEB сделают лечение.
-
-
Сообщение от
Славик
Ок спасибо. А почему не нахожу первый jitdt.dll ? Он виден только в карантине AVZ ,и там-же я его выбрал и нажал кнопку удалить. Он удалился с компа или из списка только?
Не заметил. Первый уже удалён
-
-
Junior Member
- Вес репутации
- 63
Спасибо пацаны-вы мне очень помогаете! Ещё один вопросик,не даётся на замену файл winlogon.exe. Говорит что в работе. Я попытался снять процесс через диспетчер задач,но там тоже отказ. Как-же заменить???