winlib.dll и Ко

Printable View

01.10.2009, 21:43
MyIsteriya

winlib.dll и Ко

Доброго времени суток.
Несколько дней боролась с winlib-ом :censored: В процессе выполнения пунктов Правил, прилагаемых к этой ветке, обнаружилось еще куча всего нелицеприятного :( Нет слов, кроме "помогите", в общем..
01.10.2009, 21:56
Белый Сокол

Мммм, а логи по правилам где? :)
02.10.2009, 00:20
MyIsteriya

Алилуя, прикрепились =) Прошу прощения, что не сразу, уже глаза в районе затылка...

[size="1"][color="#666686"][B][I]Добавлено через 1 час 51 минуту[/I][/B][/color][/size]

Карантин ушел.

Файл сохранён как 091002_001232_virusinfo_cure_4ac50d30b4ea4.zip
Размер файла 86179
MD5 4ade818f0125e8f1a5c91294591f2c62
02.10.2009, 00:57
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Antispyware\Antispyware.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wch47.sys','');
DeleteService('Wch47');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sna62.sys','');
DeleteService('Sna62');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nrr47.sys','');
DeleteService('Nrr47');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lyf78.sys','');
DeleteService('Lyf78');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lbh12.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Kpm56.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Kor77.sys','');
DeleteService('Lbh12');
DeleteService('Kpm56');
DeleteService('Kor77');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fag87.sys','');
DeleteService('Fag87');
QuarantineFile('C:\WINDOWS\system32\dll.sys','');
DeleteService('dedede');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bfh07.sys','');
DeleteService('Bfh07');
DeleteService('windswe');
TerminateProcessByName('c:\windows\schelp.exe');
QuarantineFile('c:\windows\schelp.exe','');
DeleteFile('c:\windows\schelp.exe');
DeleteFile('C:\WINDOWS\system32\windswe.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Bfh07.sys');
DeleteFile('C:\WINDOWS\system32\dll.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fag87.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kor77.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kpm56.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lbh12.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lyf78.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nrr47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sna62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wch47.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lvhost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
02.10.2009, 02:10
MyIsteriya

Сделано
02.10.2009, 07:56
thyrex

Выполните скрипт в AVZ
[code]begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\winlib0.dll','');
end. [/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
02.10.2009, 08:07
MyIsteriya

Готово

Файл сохранён как 091002_080643_virus_4ac57c5302565.zip
Размер файла 88040
MD5 423a824994419f2a8d8c706a34b3f5d1
02.10.2009, 08:11
thyrex

C:\WINDOWS\system32\winlib0.dll пришлите согласно Приложения 2 правил
02.10.2009, 08:45
MyIsteriya

При помощи AVZ архивировать не получается (не вижу потом архива), делаю вручную. Результат этой попытки:
! D:\Install\virus\avz4\Quarantine\2009-10-02\virus.zip: Невозможно открыть avz00003.dta
! Отказано в доступе.

[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]

[B]thyrex[/B], Этот файл не "скрытый" и не "только для чтения", галок нет, по крайней мере
И еще, если над ним (или его компашкой) проводить какие-либо манипуляции, то тут же лезет "обновление", SpIDer ругается. Если удалить/запретить/переместить/переименовать, и заглянуть по старому адресу размещения файла, то можно увидеть его на том же месте
02.10.2009, 11:43
thyrex

Скопируйте файл в другое место, заархивируйте с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
02.10.2009, 12:38
MyIsteriya

Ошибка при копировании файла или папки
Не удается скопировать avz00003. Нет доступа.
Диск может быть переполнен или защищен от записи, либо файл занят другим приложением (с)

Что удалять? :)
02.10.2009, 13:45
thyrex

Я просил это проделать с файлом [B]C:\WINDOWS\system32\winlib0.dll[/B]
02.10.2009, 14:02
MyIsteriya

Cогласно Приложения 2 правил отправила, а в C:\WINDOWS\system32 пока тихо :) Уже Спасибо))

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

И поиск не дал результатов :girl_pinkglassesf: thyrex, я Вас люблю))
02.10.2009, 14:56
thyrex

Выполните скрипт в AVZ
[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\winlib0.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]После перезагрузки сделать новый лог virusinfo_syscheck.zip
02.10.2009, 15:15
MyIsteriya

Есть.
02.10.2009, 16:19
thyrex

Чисто
02.10.2009, 16:29
MyIsteriya

Спасибо вам большое))
03.10.2009, 16:29
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]89[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \avz00003.dta - [B]not-a-virus:AdWare.Win32.Cinmus.bcxn[/B] ( DrWEB: Trojan.DownLoad.49306, BitDefender: Generic.Adw.Cinmus.4.C8A1AFE5, AVAST4: Win32:Cinmus-BF [Trj] )[/LIST][/LIST]