Printable View
Принесли на диагностику комп, инфицированный каким-то загрузчиком троянов и тем, что этот загрузчик "нагрузил". На компе был убит штатный антивирус NOD32, невозможно было запустить CureIt и AVZ4 (данные средства запускались только после переименования). После длительных страданий многое восстановилось но осталось что-то подозрительное под названием dll.dll. Прошу помощи.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('C:\WINDOWS\system32\users32.dat','');
QuarantineFile('C:\WINDOWS\System32\Dll.dll','');
QuarantineFile('c:\windows\system32\kerneldrv.exe','');
QuarantineFile('c:\windows\system32\bolenjx.exe','');
DeleteFile('c:\windows\system32\bolenjx.exe');
DeleteFile('c:\windows\system32\kerneldrv.exe');
DeleteFile('C:\WINDOWS\System32\Dll.dll');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
BC_ImportALL;
BC_DeleteSvc('lanmandrv');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. Повторите логи.
1. содержимое карантина и новые логи
2. во время выполнения скрипта наблюдались ошибки вида -
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Dll.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (c:\windows\system32\kerneldrv.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (c:\windows\system32\bolenjx.exe)
пофиксите ...
[code]
O4 - HKLM\..\Run: [bolenjx] bolenjx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O16 - DPF: {33331111-1111-1111-1111-615111193427}
O20 - AppInit_DLLs: kus552.dat
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\bolenjx.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
новые логи согласно правилам
В логах всё нормально.
спасибо за помощь!
не видно ничего зловредного ...
но пришлите на всякий случай qkbfiltr.sys ( авз - сервис - поиск файлов на диске)
из этого что -то используется ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
1. отправлен запрошенный qkbfiltr.sys
2. область применения ПК - домашний
присланный файл чистый ...
для отключения служб выполните скрипт ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\users32.dat - [B]not-a-virus:AdWare.Win32.Agent.zo[/B] (DrWEB: Trojan.Click.5043)[/LIST][/LIST]