День добрый, сотрудник нашей фирмы по работе пообщался посредством e-mail с китайскими друзьями, в результате нахватал всякой гадости...
AVZ удалил пару aware с китайскими расширениями, гляньте плиз, наверняка что-то в системе осталось...
спасибо.
Printable View
День добрый, сотрудник нашей фирмы по работе пообщался посредством e-mail с китайскими друзьями, в результате нахватал всякой гадости...
AVZ удалил пару aware с китайскими расширениями, гляньте плиз, наверняка что-то в системе осталось...
спасибо.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\58e1.dll','');
QuarantineFile('C:\Windows\System32\Check.exe','');
QuarantineFile('C:\WINDOWS\Alaunch.exe','');
QuarantineFile('C:\WINDOWS\Downlo~1\utb45.dll','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\dmcq.sys','');
QuarantineFile('C:\WINDOWS\system32\8e001.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Oreans.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\mxdispdr.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\e1lglv.sys','');
QuarantineFile('C:\WINDOWS\system32\winlib .dll','');
QuarantineFile('C:\WINDOWS\system32\uv9uzp.dll','');
QuarantineFile('C:\WINDOWS\system32\msplrct.dll','');
QuarantineFile('C:\Program Files\Common Files\CPUSH\cpush0.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки анализы, то бишь карантин пришлите согласно приложению 3 правил.
Файл сохранён как 071009_075329_virus_470b79c9bc21d.zip
Размер файла 638530
MD5 dd40b563e0852a60ebed633f6f45c672
я выполнил первый скрипт, комп пергрузился, потом выполнил второй скрипт, так что видимо в отправленном мной файле карантин только из второго скрипта, если он перезаписывается каждый раз...
dmcq.sys, e1lglv.sys, uv9uzp.dll - [b]Trojan-Downloader.Win32.Hmir.bu[/b] (KAV)
58e1.dll - [b]Trojan.Cinco[/b] (DrWeb)
utb45.dll - [b]DLOADER.Trojan[/b] (DrWeb)
Check.exe - [b]Trojan-PSW.Win32.WOW.lq[/b] (VBA32)
Alaunch.exe - чистый.
Кое что отправлено в вирлаб.
C:\WINDOWS\System32\DRIVERS\dmcq.sys [B]Trojan-Downloader.Win32.Hmir.bu[/B]
C:\WINDOWS\system32\drivers\e1lglv.sys [B]Trojan-Downloader.Win32.Hmir.bu[/B]
C:\WINDOWS\system32\uv9uzp.dll T[B]rojan-Downloader.Win32.Hmir.bu[/B]
C:\WINDOWS\system32\58e1.dll [B]Adware.Sagou.A[/B]
C:\Windows\System32\Check.exe [B]Win32.WOW.lq[/B]
C:\WINDOWS\Alaunch.exe -чистый
C:\WINDOWS\Downlo~1\utb45.dll [B]Adware.Sagou.A[/B]
C:\WINDOWS\system32\8e001.exe [B]Adware.Sagou.A[/B]
C:\WINDOWS\system32\drivers\Oreans.sys - чистый
C:\WINDOWS\system32\drivers\mxdispdr.sys[B] BackDoor-DMB.sys[/B]
ыполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\8e001.exe');
DeleteFile('C:\Program Files\Common Files\CPUSH\cpush0.dll');
DeleteFile('C:\WINDOWS\system32\uv9uzp.dll');
DeleteFile('C:\WINDOWS\system32\winlib .dll');
DeleteFile('\??\C:\WINDOWS\system32\drivers\e1lglv.sys');
DeleteFile('\??\C:\WINDOWS\system32\drivers\mxdispdr.sys');
DeleteFile('C:\WINDOWS\system32\8e001.exe');
DeleteFile('C:\WINDOWS\Downlo~1\utb45.dll');
DeleteFile('C:\PROGRA~1\MIDNIG~1\ML1HEL~1.EXE');
DeleteFile('C:\WINDOWS\system32\58e1.dll');
DeleteFile('C:\WINDOWS\System32\DRIVERS\dmcq.sys');
DeleteFile('C:\Windows\System32\Check.exe');
BC_DeleteSvc('mxdispdr');
BC_DeleteSvc('e1lglv');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true)
end.
[/code]
повторите логи..
сделал, логи повторяю...
Безобразие!! "Восстановление" включено. Вдруг там звери остались. После очередного приключения полезут как из ларца.
то есть сейчас все чисто?
Восстановление системы отключите, чтобы удалились зараженные точки восстановления.
Пофиксите в HijackThis:
[code]
O2 - BHO: Invoke Class - {42A3A616-FF3C-4713-A5C2-4F1B566CEF51} - C:\WINDOWS\system32\58e1.dll (file missing)
[/code]
Остался один очень подозрительный файл:
[b]C:\WINDOWS\system32\winlib .dll[/b]
(перед точкой пробел!)
В карантин он не попал. Поищите вручную через AVZ и пришлите по правилам.
[URL="http://translate.google.com/translate?hl=ru&sl=en&u=http://www.prevx.com/filenames/541935030072813744-49501612/WINLIB%2B.DLL.html&sa=X&oi=translate&resnum=10&ct=result&prev=/search%3Fq%3Dwinlib%2B.dll%26gbv%3D1%26hl%3Dru%26lr%3D%26client%3Dopera%26rls%3Dru%26sa%3DN"]winlib .dll[/URL] - по всем признакам зверь ...
[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
пофиксите ...
[code]
O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
O2 - BHO: Invoke Class - {42A3A616-FF3C-4713-A5C2-4F1B566CEF51} - C:\WINDOWS\system32\58e1.dll (file missing)
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\winlib .dll');
BC_DeleteFile('C:\WINDOWS\system32\winlib .dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll');
BC_DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll');
DeleteFile('C:\WINDOWS\system32\58e1.dll');
BC_DeleteFile('C:\WINDOWS\system32\58e1.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи....
восстановление отключил, строчку пофиксил, а вот файлик не нашелся... ни так, ни через AVZ...
ждем новые логи ...
Поищи файлик в AVZ по маске winlib?.dll
вот новые логи...
кстати можно включить восстановление теперь?
вы скрипт из поста 10 не выполняли ?
Поищи файлик в AVZ по реестру по маске winlib?.dll .
Надо все-таки разобраться с этой dll.
[QUOTE=V_Bond;141004]вы скрипт из поста 10 не выполняли ?[/QUOTE]
упс, не увидел... выполню, завтра доложу о результатах...