Добрый день,
Avira в какой-то момент обнаружила TR/Patched.BU.6 Trojan, удалось его вроде выковырять самостоятельно, но есть подозрение, что хвосты остались. Посмотрите, пожалуйста, логи!
Printable View
Добрый день,
Avira в какой-то момент обнаружила TR/Patched.BU.6 Trojan, удалось его вроде выковырять самостоятельно, но есть подозрение, что хвосты остались. Посмотрите, пожалуйста, логи!
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ddmon.dll','');
QuarantineFile('C:\$\RDSS\!debug\SupportServer.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
DeleteService('runtime2');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\ddmon.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_DeleteSvc('runtime2');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
при выполнении скрипта (как впрочем и всегда при запуске AVZ) вылезла такой мессаджбокс:Cannot set 'DisplayName'
и ошибка в логе:
"Ошибка в работе антируткита [Access violation at address 00404D1F in module 'avz.exe'. Read of address 4F444E49], шаг [11]"
скрипт прервался
после ручной перезагрузки запустил его же в безопасном режиме, на этот раз вроде отработал
новые логи - в приложении
в карантине - в дополнение к запрошенным - исходный троян (dmserver.dll)
прошу прощения, только сейчас дошло, что virusinfo_cure.zip - это и есть карантин; как удалить его из сообщения - не нашел;
у Вас в правилах ([url]http://virusinfo.info/showthread.php?t=1235[/url]) кстати написано:
[B]"[/B]вложите в сообщение файлы логов, полученных в процессе диагностики [B](AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log)[/B] - всего должно быть [B]3 [/B]лога. Мы постараемся помочь Вам. "
вот я все три и прикрепил..
читали правила не внимательно... нужен virusinfo_SYScure.zip
пофиксите
[code]
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {C7098CEE-E983-4A13-BD29-9C32E0A3680B} - (no file)
[/code]
зловредного ничего в логах нет
[quote=V_Bond;287445]читали правила не внимательно... нужен virusinfo_SYScure.zip
[/quote]
такого не было, только virusinfo_cure.zip :\ потому и перепутал
больше не повторится :)
[size="1"][color="#666686"][B][I]Добавлено через 40 минут[/I][/B][/color][/size]
спасибо за помощь!
если можно, посмотрите пожалуйста еще два странных .sys файла в карантине (просто лежат в system32/drivers, имена какие-то странные); паранойа - но BSOD уже четвертый раз за сегодня )
Давайте не будем играть в загадки.
1. Какие файлы подозрительны?
2. Что написано на БСОД? Если есть возможность сделать фотографию - прикрепите ее к сообщению.
Файлы добавил через "Прислать запрошенный карантин".. Прикрепить к сообщению?
(файлы: A909D4BFCD.sys, KGyGaAvL.sys)
БСОД - к сожалению, только сейчас отключил немедленную перезагрузку после БСОД - так что жду следующего.
[QUOTE=lxa;287536]Файлы добавил через "Прислать запрошенный карантин".. Прикрепить к сообщению?[/QUOTE]Вот этого делать нельзя :) Подождем ответа из Вирлаба.
вирлаб промолчал - т.е. драйверы безобидные? :)
[QUOTE=lxa;293090]вирлаб промолчал - т.е. драйверы безобидные? :)[/QUOTE]
[QUOTE]No malicious software was found in the attached file. [/QUOTE] ;)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\dmserver.xxx - [B]Trojan.Win32.Patched.dl[/B] (DrWEB: Trojan.Starter.544)[/LIST][/LIST]