Компьютер сильно тормозит при запуске InternetExplorer, периодически вылетает в BSOD или зависает. AVZ обнаруживает какой-то кейлоггер и ничем не удается его убить (пробовал AVZ, IceSword, Nod и в защищенном и в обычном режиме). Помогите пожалуйста.
Printable View
Компьютер сильно тормозит при запуске InternetExplorer, периодически вылетает в BSOD или зависает. AVZ обнаруживает какой-то кейлоггер и ничем не удается его убить (пробовал AVZ, IceSword, Nod и в защищенном и в обычном режиме). Помогите пожалуйста.
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [lanmanwrk.exe clean] C:\WINDOWS\System32\lanmanwrk.exe clean
O4 - HKLM\..\Run: [KernelDrv.exe clean] C:\WINDOWS\System32\KernelDrv.exe clean
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [NeroFilterCheck] sрoоlsv.exe
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('sрoоlsv.exe','');
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\SSWG8-15.exe','');
QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('C:\WINDOWS\System32\lanmanwrk.exe','');
QuarantineFile('C:\WINDOWS\System32\KernelDrv.exe','');
QuarantineFile('C:\WINDOWS\System32\Dll.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\datcom.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Dll.dll');
DeleteFile('C:\WINDOWS\System32\KernelDrv.exe');
DeleteFile('C:\WINDOWS\System32\lanmanwrk.exe');
DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
DeleteFile('C:\WINDOWS\SSWG8-15.exe');
DeleteFile('C:\WINDOWS\iexplorer.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winyf74');
BC_DeleteSvc('Winyf28');
BC_DeleteSvc('Winyf27');
BC_DeleteSvc('Winxe73');
BC_DeleteSvc('Winwd62');
BC_DeleteSvc('Winwd27');
BC_DeleteSvc('Winta73');
BC_DeleteSvc('Winta30');
BC_DeleteSvc('Winta28');
BC_DeleteSvc('Winta16');
BC_DeleteSvc('Winqx63');
BC_DeleteSvc('Winou62');
BC_DeleteSvc('Winnt73');
BC_DeleteSvc('Winnt27');
BC_DeleteSvc('Winms52');
BC_DeleteSvc('Winlr84');
BC_DeleteSvc('Winkq17');
BC_DeleteSvc('Winjq52');
BC_DeleteSvc('Winjp51');
BC_DeleteSvc('Wingm40');
BC_DeleteSvc('Wingm17');
BC_DeleteSvc('Windj74');
BC_DeleteSvc('Qwc16');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=39983[/url]).
[B]Обновите базы AVZ![/B]
Сделайте новые логи.
Файл сохранён как090218_165746_virus_499c13da07277.zipРазмер файла85579MD5d6386d5414d12cede39b41b27e165628
Сделал
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\SYSTEM32\datcom.dll','');
BC_ImportALL;
BC_DeleteSvc('AudioSrvMSDTC');
BC_DeleteSvc('cprmcspMSDTC');
BC_DeleteSvc('dmadminSchedule');
BC_DeleteSvc('dmadminSchedulexmlprov');
BC_DeleteSvc('lanmanserverRemoteRegistry');
BC_DeleteSvc('lanmanworkstationRemoteRegistry');
BC_DeleteSvc('MSIServerdmserver');
BC_DeleteSvc('NtmsSvcALG');
BC_DeleteSvc('oseSCardSvr');
BC_DeleteSvc('RDSessMgrWmiApSrvRasMan');
BC_DeleteSvc('RemoteAccessdmadminSchedule');
BC_DeleteSvc('RSVPNetlogon');
BC_DeleteSvc('RSVPNtmsSvcALG');
BC_DeleteSvc('SCardSvrcprmcspMSDTC');
BC_DeleteSvc('srserviceAppMgmt');
BC_DeleteSvc('SSDPSRVNla');
BC_DeleteSvc('TapiSrvdmadminSchedule');
BC_DeleteSvc('TapiSrvsrservice');
BC_DeleteSvc('TrkWkshelpsvc');
BC_DeleteSvc('TrkWkswinmgmt');
BC_DeleteSvc('WmiApSrvNla');
BC_DeleteSvc('WmiApSrvRasMan');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=39983[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
[B]Результат загрузки[/B]
Файл сохранён как090220_095640_virus_499e5428d3f61.zipРазмер файла586MD5b1dc8115f3f543601ce367ac411b2c50
Сделал
Как будто все нормально, только странный этот [B]datcom.dll[/B]. В гугле о нем нашел много нехорошего, однако ж AVZ его не видит и не карантинит, похоже, считает безопасным. Давайте пофиксим в HijackThis:
[CODE]O20 - Winlogon Notify: datcom - C:\WINDOWS\SYSTEM32\datcom.dll[/CODE]
перезагрузимся и повторим лог HijackThis.
А файлик этот запакуйте вручную в zip или rar с паролем [I]virus[/I] и пришлите по правилам.
[B]Результат загрузки[/B]
Файл сохранён как090220_113640_datcom_499e6b98e6f7e.zipРазмер файла11995MD5729340fccd633326e4db8c83f3bb091d
сделал
Подождем ответа аналитиков по поводу файла...
Файл чистый...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\kerneldrv.exe - [B]Backdoor.Win32.Qmop.k[/B][*] c:\windows\system32\lanmandrv.sys - [B]Backdoor.Win32.Qmop.b[/B] (DrWEB: Trojan.NtRootKit.2676)[*] c:\windows\system32\lanmanwrk.exe - [B]Backdoor.Win32.Qmop.k[/B][/LIST][/LIST]