Показано с 1 по 14 из 14.

Не удалить advapi32.$$$ (заявка № 84209)

  1. #1
    Junior Member Репутация
    Регистрация
    30.07.2010
    Сообщений
    7
    Вес репутации
    50

    Exclamation Не удалить advapi32.$$$

    Добрый день, коллеги, с праздником!!)
    Помоги решить проблемку. В корпоративной сети стоит антивирус g-data. На всех ПК. На одном ПК появился вирус. G-data якобы находит, удаляет, но через некоторое время эти файлы все равно появляются. И по кругу.
    Вот файлы на которые ругается g-data:
    trojan.jeneric 3211108 c:\windows.0\system32\advapi32.$$$
    win32:Malware-gen c:\windows\system32\ytjjcz.exe
    И прочие файлы в директории system32. (после удаления ytjjcz.exe появляется например на dfgrfq.exe)

    Cureit в сочетание с ERD commander 2007 ниразу не подводил. А тут ничего не нашел. И вообще обычные антивирусы типо KAV ничего не находят. А вот g-data ругается.
    Помогите избавится от этой заразы! А то постоянно какие то траблы возникают по мелочи с этим ПК. То сайты не открываются. То Язык не переключается. Вирусняк делает что хочет.
    Спасибо

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=c:\windows.0\system32\userinit.exe,C:\WINDOWS.0\system32\186bd876.exe,C:\WINDOWS.0\system32\bf46d67b.exe,C:\WINDOWS.0\system32\pmibks.exe,
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('%system32%\syslink.dll','');
     QuarantineFile('C:\WINDOWS.0\system32\webmin\AutorunsDisabled\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\winhelp32.exe','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\DOCUME~1\09C2~1\LOCALS~1\Temp\svchost.exe','');
     QuarantineFile('\\?\globalroot\systemroot\system32\1awWu6n.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\pmibks.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\bf46d67b.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\186bd876.exe','');
     QuarantineFile('C:\WINDOWS.0\system32\drivers\glaide32.sys','');
     DeleteService('glaide32');
     DeleteFile('C:\WINDOWS.0\system32\drivers\glaide32.sys');
     DeleteFile('C:\WINDOWS.0\system32\186bd876.exe');
     DeleteFile('C:\WINDOWS.0\system32\bf46d67b.exe');
     DeleteFile('C:\WINDOWS.0\system32\pmibks.exe');
     DeleteFile('\\?\globalroot\systemroot\system32\1awWu6n.exe');
     DeleteFile('C:\DOCUME~1\09C2~1\LOCALS~1\Temp\svchost.exe');
     DeleteFile('C:\WINDOWS.0\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS.0\system32\webmin\AutorunsDisabled\winhelp32.exe');
     DeleteFile('%system32%\syslink.dll');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(13);
    Executerepair(20);
    ExecuteWizard('TSW', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.

    Добавлено через 4 минуты

    Выполните еще такой скрипт
    Код:
    var
    i : integer;
    KeyList : TStringList;                      
    begin
    KeyList := TStringList.Create;
    RegKeyEnumKey('HKLM','SYSTEM', KeyList);
    for i := 0 to KeyList.Count-1 do
    if pos('controlset', LowerCase(KeyList[i])) > 0 then
     begin
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    KeyList.Free;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
    Последний раз редактировалось Шапельский Александр; 30.07.2010 в 17:27. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    30.07.2010
    Сообщений
    7
    Вес репутации
    50
    Спасибо что откликнулись) Скрипты выполнил, карантин выслал. Сейчас делаю новые логи.

  5. #4
    Junior Member Репутация
    Регистрация
    30.07.2010
    Сообщений
    7
    Вес репутации
    50
    Вот новые логи

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Выполните скрипт в безопасном режиме
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('%system32%\syslink.dll','');
     QuarantineFile('C:\WINDOWS.0\system32\drivers\vdi3ndu1.sys','');
     QuarantineFile('\\?\globalroot\systemroot\system32\1awWu6n.exe','');
     DeleteFile('\\?\globalroot\systemroot\system32\1awWu6n.exe');
     DeleteFile('D:\autorun.inf');
     DeleteFile('C:\WINDOWS.0\system32\drivers\vdi3ndu1.sys');
     DeleteFile('%system32%\syslink.dll');
     BC_ImportAll;
    ExecuteSysClean;
    Executerepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    Закачайте карантин, сделайте новые логи (в обычном режиме)
    Еще пофиксите в HijackThis эту строку:
    Код:
    O20 - Winlogon Notify: syslink - syslink.dll (file missing)
    Перезагрузите ПК
    Последний раз редактировалось Шапельский Александр; 30.07.2010 в 18:40.

  7. #6
    Junior Member Репутация
    Регистрация
    30.07.2010
    Сообщений
    7
    Вес репутации
    50
    Скрипт в безопасном выполнил, карантин пустой. Так и должно быть?
    Новые логи делаю в обычном режиме.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Цитата Сообщение от bitree Посмотреть сообщение
    Скрипт в безопасном выполнил, карантин пустой. Так и должно быть?
    Бывает.

  9. #8
    Junior Member Репутация
    Регистрация
    30.07.2010
    Сообщений
    7
    Вес репутации
    50
    Вот новые логи

  10. #9

  11. #10
    Junior Member Репутация
    Регистрация
    30.07.2010
    Сообщений
    7
    Вес репутации
    50
    Млин, запустил MBAM так он так медленно сканирует похоже часов пять будет комп сканить =( Я запустил полное сканирование, может нужно быстрое?

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от bitree Посмотреть сообщение
    Я запустил полное сканирование
    Так и нужно

    Цитата Сообщение от bitree Посмотреть сообщение
    c:\windows.0\system32\advapi32.$$$
    Это временный файл, созданный Crypto Pro
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    30.07.2010
    Сообщений
    7
    Вес репутации
    50
    Добрый день. Сделал логи сканирования gmen и mbam

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    QuarantineFile('C:\WINDOWS.0\Debug\UserMode\explorer.exe','');
    QuarantineFile('C:\Documents and Settings\Александор\Local Settings\Temp\e.exe','');
    QuarantineFile('C:\WINDOWS.0\system32\servises.exe','');
    end.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\Interface\{403538f6-2e9b-8125-6803-a744610bc3ac} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Typelib\{e1451945-ae2e-c356-b18f-6fdd0b100081} (Trojan.BHO) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\MSN\bn (Trojan.Ambler) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\MSN\d1 (Trojan.Ambler) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\MSN\d2 (Trojan.Ambler) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\MSN\d3 (Trojan.Ambler) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\MSN\gd (Trojan.Ambler) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\MSN\pr (Trojan.Ambler) -> No action taken.
    
    Зараженные папки:
    C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
    C:\WINDOWS.0\system32\lowsec (Stolen.data) -> No action taken.
    C:\WINDOWS.0\system32\twain32 (Backdoor.Bot) -> No action taken.
    
    Зараженные файлы:
    D:\System Volume Information\_restore{D042CC98-C6FF-470B-9F45-ECD90EC6E84A}\RP472\A0488234.exe (Trojan.Downloader) -> No action taken.
    C:\WINDOWS.0\system32\lowsec\local.ds (Stolen.data) -> No action taken.
    C:\WINDOWS.0\system32\lowsec\user.ds (Stolen.data) -> No action taken.
    C:\WINDOWS.0\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
    C:\WINDOWS.0\system32\twain32\local.ds (Backdoor.Bot) -> No action taken.
    C:\WINDOWS.0\system32\twain32\user.ds (Backdoor.Bot) -> No action taken.
    C:\WINDOWS.0\system32\twain32\user.ds.lll (Backdoor.Bot) -> No action taken.
    C:\Documents and Settings\Александор\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
    C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
    C:\WINDOWS.0\system32\_id.dat (Malware.Trace) -> No action taken.
    C:\WINDOWS.0\system32\a9k.bin (Trojan.Agent) -> No action taken.
    C:\WINDOWS.0\system32\c2d.dat (Malware.Trace) -> No action taken.
    C:\WINDOWS.0\system32\ck.dat (Malware.Trace) -> No action taken.
    C:\WINDOWS.0\system32\hrpdcf.bin (Trojan.Agent) -> No action taken.
    C:\WINDOWS.0\system32\idm.dat (Malware.Trace) -> No action taken.
    C:\WINDOWS.0\system32\q1.dat (Malware.Trace) -> No action taken.
    C:\WINDOWS.0\system32\servises.exe (Trojan.Tedroo) -> No action taken.
    C:\WINDOWS.0\system32\xd.dat (Malware.Trace) -> No action taken.
    C:\Documents and Settings\Александор\Local Settings\Temp\e.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS.0\Debug\UserMode\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
    Новый лог МВАМ предоставьте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 24
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) bitree, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Hе могу удалить файл advapi32.$$$ из system32
      От starfolk в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 09:36
    2. advapi32.$$$
      От matan в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 08:54
    3. Ответов: 13
      Последнее сообщение: 22.02.2009, 01:33
    4. advapi32.$$$
      От D060606 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 26.12.2008, 11:28
    5. не могу удалить файл advapi32.$$$ из system32
      От starfolk в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 24.12.2008, 14:28

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01429 seconds with 19 queries