NOD32 обнаружил данный вирус в файле /system32/pmkjj.dll, удалить не может
CureIT нашел удалить не смог
Спасибо
Printable View
NOD32 обнаружил данный вирус в файле /system32/pmkjj.dll, удалить не может
CureIT нашел удалить не смог
Спасибо
Т.к. это 2003 сервер , то возможны ошибки.
Надо выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\System32\mswsock.dll','');
QuarantineFile('C:\SRV_W2K3\system32\jkhff.dll','');
QuarantineFile('C:\SRV_W2K3\system32\lelkmjka.dll','');
QuarantineFile('fccyvwu.dll','');
QuarantineFile('\SystemRoot\System32\Drivers\Cdrom.SYS','');
QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe','');
DeleteFile('fccyvwu.dll');
DeleteFile('C:\SRV_W2K3\system32\lelkmjka.dll');
DeleteFile('C:\SRV_W2K3\system32\jkhff.dll');
BC_DeleteFile('fccyvwu.dll');
BC_DeleteFile('C:\SRV_W2K3\system32\lelkmjka.dll');
BC_DeleteFile('C:\SRV_W2K3\system32\jkhff.dll');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
То, что попадет в карантин, загрузить по ссылке вверху темы.
Если вдруг ничего не найдется, то поискать через AVZ, добавить в рантин и прислать.
что значит
[QUOTE]Т.к. это 2003 сервер , то возможны ошибки.[/QUOTE]
надеюсь ошибки сервак не порушат:embarasse
[size="1"][color="#666686"][B]Добавлено через 1 час 10 минут[/B][/color][/size]
отправил карантин AVZ, правильно или нет?
[size="1"][color="#666686"][B]Добавлено через 10 минут[/B][/color][/size]
при входе в систему под другим пользователем, вываливается 2 окошка:Заголовок- RUNDLLСообщение: ошибка призагрузке c:\srv_w2k3\system32\lennvads.dll не найден указанный модуль.кнопка - ОКво втором окошке тоже, только файл jkhff.dllВ чем может быть дело?
В том, что у другого пользователя эта ботва прописалась в настройках, а зловредные файлы уже удалены. Сделайте лог HijackThis из-под этого пользователя, скажем, что надо пофиксить.
ок
а что с карантином, я правильно отправил?
C:\SRV_W2K3\system32\nnnlkjh.dll - Trojan.Vundo (Симантек)
AdWare.Win32.Virtumonde.it(по Касперскому)
Больше ничего не попало.
Выполните скрипт:
[CODE]begin
BC_deletefile('C:\SRV_W2K3\system32\nnnlkjh.dll');
BC_deletefile('C:\SRV_W2K3\system32\pmkjj.dll');
BC_Activate;
RebootWindows(true);
end.[/CODE]
вот лог от другого юзера
пофиксите
[CODE]O2 - BHO: (no name) - {2980D878-2F95-4705-9E90-F62606C8F5AC} - C:\SRV_W2K3\system32\pmkjj.dll (file missing)
O2 - BHO: (no name) - {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} - C:\SRV_W2K3\system32\fccyvwu.dll (file missing)
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\SRV_W2K3\system32\lelkmjka.dll (file missing)
O2 - BHO: (no name) - {E91FFB04-DCF1-4ED0-AA61-350CF4CB953E} - C:\SRV_W2K3\system32\jkhff.dll (file missing)
O4 - HKLM\..\Run: [Windows DLL Loader] C:\SRV_W2K3\system32\zpmril.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\SRV_W2K3\system32\algs.exe
O20 - Winlogon Notify: fccyvwu - C:\SRV_W2K3\
O20 - Winlogon Notify: pmkjj - C:\SRV_W2K3\system32\pmkjj.dll (file missing)
[/CODE]
повторите потом лог.
Пофиксил, ошибка осталась, вот лог
Выполните скрипт в AVZ
[CODE]begin
SysCleanAddFile('c:\srv_w2k3\system32\lennvads.dll');
ExecuteSysClean;
end.[/CODE]
должно убить последнею ошибку.
сделал
ребутить надо?
перелогинился ошибка осталась
попробуйте такой скрипт
[CODE]begin
SysCleanAddFile('lennvads.dll');
ExecuteSysClean;
end.[/CODE]
если всё ещё будет ошибка то,воспользуйтесь AVZ-- сервис--поиск данных в реестре и сделайте поиск [B]lennvads.dll[/B] и найденные ключи удалите.
не помогло
поиск в реестре ничего не дал:?
В порядке бреда - у пользователя какой вид папок настроен? Если поставить обычные папки Windows - ошибка пропадёт?
всё оказалось прощепоискал regedit'ом, и нашел по пути HKEY_USERS\S-1-5-21-414311402-28537704-2644733706-1003\Software\Microsoft\Windows\CurrentVersion\Runследующие записи:cmds=rundll32.exe C:\\SRV_W2K3\\system32\\jkhff.dll,CreateProtectProcInfoData=rundll32.exe C:\\SRV_W2K3\\system32\\lennvads.dll\realsetудалил, ошибка пропала, правда пока не перегружался.есть смысл, логи сделать?
сделайте логи чтоб убедиться,что всё чисто.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\srv_w2k3\\system32\\nnnlkjh.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.it[/B] (DrWEB: Trojan.Virtumod)[/LIST][/LIST]