При перезагрузке вылазит ADMDLL.dll не находит библиотек
касперский 5.0 видит но не может удалить, пишет что удалит после перезагрузки, но потом все повторяется
[COLOR=#800080]C:\WINDOWS\system32\ADMDLL.dll[/COLOR]
Printable View
При перезагрузке вылазит ADMDLL.dll не находит библиотек
касперский 5.0 видит но не может удалить, пишет что удалит после перезагрузки, но потом все повторяется
[COLOR=#800080]C:\WINDOWS\system32\ADMDLL.dll[/COLOR]
Одного лога не хватает (см. правила). Но это не важно - зверь и так виден. Значит так: необходимо закрыть все программы, запустить AVZ и через меню "Файл/Выполнить скрипт" выполнить следующий скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteRepair(9);
QuarantineFile('C:\WINDOWS\system32\ADMDLL.dll','');
QuarantineFile('C:\WINDOWS\system32\system32.exe','');
QuarantineFile('tasklhmg.exe','');
DeleteFile('C:\WINDOWS\system32\system32.exe');
// Импорт списка удаленных файлов в настройки Boot Cleaner
BC_ImportDeletedList;
// Чистка ссылок на удаленные файлы
ExecuteSysClean;
// Активация драйвера Boot Cleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер автоматом перезагрузится. После этого нужно прислать попавшие в карантин файлы согласно правилам и повторить логи - для контроля.
Все сделал, но не помогло, при запуске касперский опять его нашел.
да. и хотелось-бы знать, что это за вирус?
[QUOTE=frigor;96873]Все сделал,[/QUOTE]Вы не прислали файл карантина.
прислал. но если хотите могу кинуть в форум
[QUOTE=frigor;96876]прислал. но если хотите могу кинуть в форум[/QUOTE]
Файл пришел. На форум кидать [b]нельзя![/b]
C:\WINDOWS\system32\system32.exe - Program.RemoteAdmin
Файлы C:\WINDOWS\system32\ADMDLL.dll и tasklhmg.exe не пришли.
PS. Что говорит Касперский по поводу ADMDLL.dll?
Попробуйте прислать по Правилам файлы:
C:\WINDOWS\system32\ADMDLL.dll
tasklhmg.exe
отключив антивирус, на время поиска и их архивирования.
[QUOTE=frigor;96873]Все сделал, но не помогло, при запуске касперский опять его нашел.
да. и хотелось-бы знать, что это за вирус?[/QUOTE]
А скрипт точно сработал ? Файл 'boot_clr.log' создался в папке AVZ ? Если да, то его нужно приаттачить сюда для анализа.
файл создался, но вирус не удалился.
'boot_clr.log' заархивировал и отправил ВАМ
[QUOTE=frigor;96882]файл создался, но вирус не удалился.
'boot_clr.log' заархивировал и отправил ВАМ[/QUOTE]
Хорошо, усилим скрипт - попробуйте так:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteRepair(9);
QuarantineFile('C:\WINDOWS\system32\ADMDLL.dll','');
QuarantineFile('C:\WINDOWS\system32\system32.exe','');
QuarantineFile('tasklhmg.exe','');
DeleteFile('C:\WINDOWS\system32\system32.exe');
DeleteFile('C:\WINDOWS\system32\ADMDLL.dll');
// Импорт списка удаленных файлов в настройки Boot Cleaner
BC_ImportDeletedList;
// Чистка ссылок на удаленные файлы
ExecuteSysClean;
// Активация драйвера Boot Cleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
файл system32.exe - это не вирус, а RAdmin - утилита удаленного администрирования. Для исследования обязательно нужен C:\WINDOWS\system32\ADMDLL.dll - его помещение в карантин может блокировать монитор AVP, его стоит отключить на время и попробовать вручную скопировать этот файл. Я думаю, это тоже компонента RAdmin. Еще пришлите файл C:\WINDOWS\ALCFDRTM.EXE согласно правилам.
[QUOTE=frigor;96882]файл создался, но вирус не удалился.
'boot_clr.log' заархивировал и отправил ВАМ[/QUOTE]
[COLOR="Red"][B]Логи прикрепять к теме. Запрошенные файлы отправлять через форму для отправки файлов. Еще раз будет сделано наоборот и тема будет закрыта. Уважайте людей которые тратят на Вас своё личное время.[/B][/COLOR]
ADMDLL.dll не могу найти, ALCFDRTM.EXE - выслал, еще появился файл TEMP\game.exe
А касперыч говорит:"[B]C:\windows/system32/admdll.dll[/B] является backdoorом [B]backdoor.win32.ra-based.b1[/B] . Рекомендуется его удалить", но не может.
[QUOTE=frigor;96892]А касперыч говорит:"[B]C:\windows/system32/admdll.dll[/B] является backdoorом [B]backdoor.win32.ra-based.b1[/B] . Рекомендуется его удалить", но не может.[/QUOTE]
Пробуем еще раз (на всякий случай - скрипт точно сработал и ПК перезагрузился ?!):
1. Отключаем AVP, отключаем восстановление системы (см. правила). После этого я рекомандую перезагрузиться
2. Запускает AVZ, выполняем скрипт AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteRepair(9);
QuarantineFile('C:\WINDOWS\system32\ADMDLL.dll','');
QuarantineFile('tasklhmg.exe','');
DeleteFile('C:\WINDOWS\system32\system32.exe');
DeleteFile('C:\WINDOWS\system32\ADMDLL.dll');
DeleteFile('tasklhmg.exe');
// Импорт списка удаленных файлов в настройки Boot Cleaner
BC_ImportDeletedList;
// Чистка ссылок на удаленные файлы
ExecuteSysClean;
// Активация драйвера Boot Cleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
end.
[/code]
3. Не выходя из AVZ нужно произвести поиск файла с именем tasklhmg.exe на диске C (Сервис/Поиск файла на диске). Если найдется - отметить его птичкой и нажать кнопки копирования в карантин и удаления.
4. Аналогично шагу 3 проделать для ADMDLL.dll и system32.exe
5. Файл/Восстановление системы в avz - там отменить "Удалить отладчики системных процессов" и нажать выполнить
6. Перезагрузиться, если что-то попадет в карантин - прислать по правилам. Плюс описать результативность шагов 3-4
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\system32.exe - [B]not-a-virus:RemoteAdmin.Win32.RAdmin.21[/B] (DrWEB: Program.RemoteAdmin)[/LIST][/LIST]