-
Junior Member
- Вес репутации
- 63
AVZ подозрение на троянскую DLL
Добрый день
Приходится опять к Вам обращаться
так как в прошлый раз очень сильно мне помогли http://virusinfo.info/showthread.php?t=8727
Дело вот в чем
Комп вроде работает нормально никаких глюков "видимых"
При проверке Curet от веба ничего не нашел
Проверка AVZ нашел
Сделал новые логи высылаю
Также в карантин попал один файл C\ Windows\TEMP\Command.com
Похожая тема http://virusinfo.info/showthread.php?t=8841
Что делать с карантином???
Добавил логи
Последний раз редактировалось АлексейН; 17.05.2007 в 13:34.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Карантин по ссылке вверху темы (Прислать запрошенные файлы), протоколы сюда.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Junior Member
- Вес репутации
- 63
Протокол avz_log
И КАРАНТИН
Файл сохранён как 070406_154727_virus_4616334f9c105.zip
Размер файла 43911
MD5 abef81a039772599cf1f77da84dd12c9
Последний раз редактировалось АлексейН; 11.04.2007 в 10:01.
-
Странное какое-то название драйвера uze4odky.sys
В AVZ выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\uze4odky.sys','');
BC_ImportQuarantineList;
// Активация драйвера Boot Cleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Прислать, как положено, после перезагрузки.
Временный Интернет файлы почистить не помешает. Меньше мусора будет.
Что за слово "исправил" в логе HijackThis?
Страшно за информацию стало.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
>>> Странное какое-то название драйвера uze4odky.sys
Ставлю свой наградной ключ, что это драйвер AVZ.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Сообщение от
NickGolovko
>>> Странное какое-то название драйвера uze4odky.sys
Ставлю свой наградной ключ, что это драйвер AVZ.
В других темах в логах такого я не видел.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
begin
SearchRootkit(true, true);
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\uz e4odky.sys','');
BC_ImportQuarantineList;
// Активация драйвера Boot Cleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Выполнил
Каантин залил
Файл сохранён как 070406_165028_virus_461642146f679.zip
Размер файла 44502
MD 596f1d5f9b97864f005e5cfeddcf45f6d
-
Junior Member
- Вес репутации
- 63
Что за слово "исправил" в логе HijackThis?
Страшно за информацию стало.
Нет не страшно, но просто не хочется лишний раз разглашать
информацию которая проходит через меня.
Просто один раз так уже подставили со всеми вытекающими отсюда последствиями.
Временный Интернет файлы почистить не помешает. Меньше мусора будет.
Сегодня утром только чистил
-
Сообщение от
АлексейН
Сегодня утром только чистил
А в последнем логе AVZ опять Troian.Downloader болтается.
В карантине приехал command.com. Он чистый.
В АВЗ поискать C:\WINDOWS\system32\Drivers\uze4odky.sys. Если не захочет добавляться в карантин, значит чистый.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
Ошибка прямого чтения
Так в он в двух местах
лог прикладываю
Карантин не хочет
Последний раз редактировалось АлексейН; 11.04.2007 в 10:01.
-
Junior Member
- Вес репутации
- 63
Постараюсь продолжить завтра
Если не получится то только аж с понедельника
Пока спасибо за текущую помощь
До встреч
-
Попробуй через Safe Mode его в карантин засунуть.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
Добрый всем день
Сегодня проверил AVZ комп опять, нашел опять тоже
самое
логи и лог карантина
Что с карантином делать
C:\WINDOWS\system32\cpadvai.dll --> Подозрение на троянскую DLL. Обнаружена маскировка реального имени DLL
C:\WINDOWS\system32\cpadvai.dll>>> Поведенческий анализ:
Это как понимать
Прежде чем делать логи очистил Temporary Internet Files
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\P8WFL5SL\original[1].exe >>>>> Trojan-Downloader.Win32.Agent.avv успешно удален
Последний раз редактировалось АлексейН; 17.05.2007 в 13:34.
-
Junior Member
- Вес репутации
- 63
Последний раз редактировалось АлексейН; 17.05.2007 в 13:34.
-
Карантин прислать по форме, ссылка вверху темы.
В AVZ установить AVZPM, перезагрузиться. Сделать новые логи, прикрепить к теме. Старые можно удалить, как отработанный материал.
В странных местах бываете, товарищщ. Постоянно ловится Downloader во временных файлах Интернета. Надо внимательнее приглядеться к сайтам, куда ходите.
Последний раз редактировалось PavelA; 11.04.2007 в 10:24.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
Архив карантина не могу прикрепить , прислать
по форме вверху страницы
Загрузка архива доходит до середины и зависает
Буду пробовать позже
-
Junior Member
- Вес репутации
- 63
Файл сохранён как 070411_105459_virus_461c86435736f.zip
Размер файла 49659
MD5 18f142cbc37804e065c8bd2cc7c095bb
Файл закачан, спасибо!
Загрузил
-
Junior Member
- Вес репутации
- 63
В странных местах бываете, товарищщ. Постоянно ловится Downloader во временных файлах Интернета. Надо внимательнее приглядеться к сайтам, куда ходите.
Downloader можно вычислить с какого сайта Интернета
он ко мне залетает на комп.
Каждый раз после посещения Интернета проверяться, таким образом
я сам могу вычислить, а по другому можно??
А из локальной сети предприятия может залетать
Логи делаются
Опять нашел Comand.com
Последний раз редактировалось АлексейН; 17.05.2007 в 13:34.
-
Ура!!! Поймали драйвер от AVZ.
Загрузили его аж 5 раз.
C:\WINDOWS\system32\cpadvai.dll --> Подозрение на троянскую DLL. Обнаружена маскировка реального имени DLL
C:\WINDOWS\system32\cpadvai.dll>>> Поведенческий анализ:
- Думается, это Крипто Про маскируется.
Будем считать, что комп чистый.
Можно попробовать поставить КИС от Касперского. Денек поработать, походить по своим обычным сайтам. Увидите, откуда троянчик залетает.
@Nick Golovko Пиво с меня.
Последний раз редактировалось PavelA; 11.04.2007 в 11:53.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
Завтра если все будет хорошо складываться
заберу антивирус Касперского лицензию и буду ставить
проверюсь им еще.
По поводу Кприто-Про а такое возможно