AVZ подозрение на троянскую DLL

**АлексейН** · 06.04.2007, 15:30

Добрый день
Приходится опять к Вам обращаться
так как в прошлый раз очень сильно мне помогли http://virusinfo.info/showthread.php?t=8727

Дело вот в чем
Комп вроде работает нормально никаких глюков "видимых"
При проверке Curet от веба ничего не нашел
Проверка AVZ нашел
Сделал новые логи высылаю
Также в карантин попал один файл C\ Windows\TEMP\Command.com
Похожая тема http://virusinfo.info/showthread.php?t=8841
Что делать с карантином???
Добавил логи

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**NickGolovko** · 06.04.2007, 15:33

Карантин по ссылке вверху темы (Прислать запрошенные файлы), протоколы сюда.

**АлексейН** · 06.04.2007, 15:46

Протокол avz_log

И КАРАНТИН
Файл сохранён как 070406_154727_virus_4616334f9c105.zip
Размер файла 43911
MD5 abef81a039772599cf1f77da84dd12c9

**PavelA** · 06.04.2007, 15:47

Странное какое-то название драйвера uze4odky.sys
В AVZ выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
 QuarantineFile('\??\C:\WINDOWS\system32\Drivers\uze4odky.sys','');
 BC_ImportQuarantineList;
 // Активация драйвера Boot Cleaner
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_Activate;
RebootWindows(true);
end.

Прислать, как положено, после перезагрузки.

Временный Интернет файлы почистить не помешает. Меньше мусора будет.

Что за слово "исправил" в логе HijackThis?
Страшно за информацию стало.

**NickGolovko** · 06.04.2007, 16:04

>>> Странное какое-то название драйвера uze4odky.sys

Ставлю свой наградной ключ, что это драйвер AVZ.

**PavelA** · 06.04.2007, 16:17

Сообщение от NickGolovko

>>> Странное какое-то название драйвера uze4odky.sys

Ставлю свой наградной ключ, что это драйвер AVZ.

В других темах в логах такого

я не видел.

**АлексейН** · 06.04.2007, 16:55

begin
SearchRootkit(true, true);
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\uz e4odky.sys','');
BC_ImportQuarantineList;
// Активация драйвера Boot Cleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.

Выполнил
Каантин залил
Файл сохранён как 070406_165028_virus_461642146f679.zip
Размер файла 44502
MD 596f1d5f9b97864f005e5cfeddcf45f6d

**АлексейН** · 06.04.2007, 17:00

Что за слово "исправил" в логе HijackThis?
Страшно за информацию стало.

Нет не страшно, но просто не хочется лишний раз разглашать
информацию которая проходит через меня.
Просто один раз так уже подставили со всеми вытекающими отсюда последствиями.

Временный Интернет файлы почистить не помешает. Меньше мусора будет.

Сегодня утром только чистил

**PavelA** · 06.04.2007, 17:12

Сообщение от АлексейН

Сегодня утром только чистил

А в последнем логе AVZ опять Troian.Downloader болтается.

В карантине приехал command.com. Он чистый.

В АВЗ поискать C:\WINDOWS\system32\Drivers\uze4odky.sys. Если не захочет добавляться в карантин, значит чистый.

**АлексейН** · 06.04.2007, 17:19

Ошибка прямого чтения
Так в он в двух местах
лог прикладываю
Карантин не хочет

**АлексейН** · 06.04.2007, 17:27

Постараюсь продолжить завтра
Если не получится то только аж с понедельника
Пока спасибо за текущую помощь

До встреч

**PavelA** · 06.04.2007, 17:28

Попробуй через Safe Mode его в карантин засунуть.

**АлексейН** · 11.04.2007, 09:57

Добрый всем день

Сегодня проверил AVZ комп опять, нашел опять тоже
самое
логи и лог карантина
Что с карантином делать

C:\WINDOWS\system32\cpadvai.dll --> Подозрение на троянскую DLL. Обнаружена маскировка реального имени DLL
C:\WINDOWS\system32\cpadvai.dll>>> Поведенческий анализ:

Это как понимать

Прежде чем делать логи очистил Temporary Internet Files

C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\P8WFL5SL\original[1].exe >>>>> Trojan-Downloader.Win32.Agent.avv успешно удален

**АлексейН** · 11.04.2007, 10:01

Лог карантина

**PavelA** · 11.04.2007, 10:11

Карантин прислать по форме, ссылка вверху темы.

В AVZ установить AVZPM, перезагрузиться. Сделать новые логи, прикрепить к теме. Старые можно удалить, как отработанный материал.

В странных местах бываете, товарищщ. Постоянно ловится Downloader во временных файлах Интернета. Надо внимательнее приглядеться к сайтам, куда ходите.

**АлексейН** · 11.04.2007, 10:54

Архив карантина не могу прикрепить , прислать
по форме вверху страницы
Загрузка архива доходит до середины и зависает
Буду пробовать позже

**АлексейН** · 11.04.2007, 10:56

Файл сохранён как 070411_105459_virus_461c86435736f.zip
Размер файла 49659
MD5 18f142cbc37804e065c8bd2cc7c095bb

Файл закачан, спасибо!

Загрузил

**АлексейН** · 11.04.2007, 11:30

В странных местах бываете, товарищщ. Постоянно ловится Downloader во временных файлах Интернета. Надо внимательнее приглядеться к сайтам, куда ходите.

Downloader можно вычислить с какого сайта Интернета
он ко мне залетает на комп.
Каждый раз после посещения Интернета проверяться, таким образом
я сам могу вычислить, а по другому можно??

А из локальной сети предприятия может залетать
Логи делаются

Опять нашел Comand.com

**PavelA** · 11.04.2007, 11:38

Ура!!! Поймали драйвер от AVZ.

Загрузили его аж 5 раз.
C:\WINDOWS\system32\cpadvai.dll --> Подозрение на троянскую DLL. Обнаружена маскировка реального имени DLL
C:\WINDOWS\system32\cpadvai.dll>>> Поведенческий анализ:
- Думается, это Крипто Про маскируется.

Будем считать, что комп чистый.
Можно попробовать поставить КИС от Касперского. Денек поработать, походить по своим обычным сайтам. Увидите, откуда троянчик залетает.

@Nick Golovko Пиво с меня.

**АлексейН** · 11.04.2007, 11:57

Завтра если все будет хорошо складываться
заберу антивирус Касперского лицензию и буду ставить
проверюсь им еще.
По поводу Кприто-Про а такое возможно

AVZ подозрение на троянскую DLL (заявка № 8861)

Опции темы

AVZ подозрение на троянскую DLL

Похожие темы

подозрение на троянскую программу

Подозрение на троянскую DLL

Подозрение на Keylogger или троянскую DLL

Подозрение на троянскую DLL

AVZ-Подозрение на троянскую DLL

Ваши права в разделе