Проверка после лечения

Printable View

19.03.2009, 15:00
pvb-d

Вложений: 2

Проверка после лечения

После лечения системы остались подозрения на
system32\kernel32.dll и др

которые по базе AVZ не проходят как безопасные
и не детектируются CureIt
19.03.2009, 15:10
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pcistub.sys','');
QuarantineFile('C:\WINDOWS\system32\kernel32.dll','');
QuarantineFile('c:\windows\system32\iasv32.dll','');
QuarantineFile('C:\WINDOWS\system32\tcpcon.dll','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=42041[/url]).
19.03.2009, 15:23
pvb-d

сделал
19.03.2009, 15:40
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\iasv32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
19.03.2009, 15:59
pvb-d

Вложений: 2

новые логи
19.03.2009, 17:07
Bratez

Пришел ответ из вирлаба - два свеженьких:
pcistub.sys - [B]Rootkit.Win32.Ressdt.no[/B],
tcpcon.dll - [B]Trojan.Win32.Agent2.fvv[/B]

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\tcpcon.dll');
DeleteFile('C:\WINDOWS\system32\pcistub.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('pcistub');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Повторите логи.
20.03.2009, 06:09
pvb-d

Вложений: 2

новые логи
20.03.2009, 08:15
Гриша

Чисто...
20.03.2009, 08:32
pvb-d

смущает system32/kernel32.dll
дата модификации 09.03.2009
и не определяется как безопасный AVZ
20.03.2009, 08:36
Гриша

kernel32.dll

Вредоносный код в файле не обнаружен.
20.03.2009, 08:40
Bratez

Попробуйте проверить его на [url]http://www.virustotal.com[/url]
20.03.2009, 13:37
pvb-d

Virustotal ничего не обнаружил

Для успокоения совести применил снова SP3
сейчас kernel32 в "зеленых"
20.03.2009, 13:38
Гриша

Ну и замечательно :)
21.03.2009, 13:38
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\iasv32.dll - [B]Trojan.Win32.Obfuscated.acrg[/B] ( BitDefender: Trojan.Generic.1544408 )[*] c:\windows\system32\pcistub.sys - [B]Rootkit.Win32.Ressdt.no[/B][*] c:\windows\system32\tcpcon.dll - [B]Trojan.Win32.Agent2.fvv[/B][/LIST][/LIST]