Какие-то atiddaxx.dll, atiddbxx.sys (которых на диске не найти). Еще mswapi.dll попорчен вроде.
В общем - жду помощи. То что SP1 - это плохо - понятно. Вопрос апгрейда буду позже решать.
Printable View
Какие-то atiddaxx.dll, atiddbxx.sys (которых на диске не найти). Еще mswapi.dll попорчен вроде.
В общем - жду помощи. То что SP1 - это плохо - понятно. Вопрос апгрейда буду позже решать.
[code]Внимание !!! База поcледний раз обновлялась 17.04.2007 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/code]Исправитесь, надеюсь.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\mswapi.dll','');
QuarantineFile('C:\WINDOWS\System32\atiddbxx.sys','');
QuarantineFile('C:\WINDOWS\System32\mswshell.dll','');
QuarantineFile('C:\WINDOWS\System32\atiddaxx.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O20 - AppInit_DLLs: kеrnеl32.dll[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите".
Карантин закачал. Почему-то большинство файлов в карантине задублировалось. Я послал все - вдруг различаются :)
mswapi.dll - [B]Trojan-Spy.Win32.Iespy.n[/B]
mswshell.dll - [B]Trojan-PSW.Win32.Vipgsm.bm[/B]
atiddaxx.dll, atiddbxx.sys - [B]Trojan-Spy.Win32.Goldun.ph[/B]
Поищите с помощью AVZ файл kеrnеl32.dll (имя не вводите руками, а скопируйте из этого сообщения и вставьте в строку поиска!), добавьте в карантин и пришлите по правилам.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\atiddaxx.dll');
DeleteFile('C:\WINDOWS\System32\mswshell.dll');
DeleteFile('C:\WINDOWS\System32\mswapi.dll');
DeleteFile('kеrnеl32.dll');
BC_DeleteSvc('atiddbxx');
BC_DeleteFile('C:\WINDOWS\System32\atiddbxx.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пофиксите в HijackThis то, что останется из этих строк:
[code]
O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\System32\mswapi.dll
O20 - AppInit_DLLs: kеrnеl32.dll
O20 - Winlogon Notify: atiddaxx - C:\WINDOWS\SYSTEM32\atiddaxx.dll
O21 - SSODL: Shell - {2539E7E9-BCD9-42C3-A28B-6F88C06987C8} - mswshell.dll (file missing)
[/code]
Сделайте новые логи.
Kernel закачал. Я его еще ранее переименовал, заметив, что он поддельный (буквы "е" - русские)
Новые логи
Поддельный kеrnеl32.dll - [B]Trojan-PSW.Win32.Vipgsm.bm[/B]
А логи AVZ делали до фиксов, что ли? Не согласуются с логом HJT.
Если судить по последнему, то все успешно удалено.
Меняйте пароли, вероятно они успели "уплыть" на сторону!
Восстановление системы отключено? Если нет, то лечение м.б. бесполезным.
Фиксил в последнюю очередь, после выполнения скриптов AVZ. Надо наоборот?
Восстановление не отключал (забыл). Буду наблюдать - не появится ли что вновь.
Всем огромное спасибо.
Сделайте заново логи.
[QUOTE]Надо наоборот? [/QUOTE]
Ясно море, сначала сделать все дела, потом делать все логи.
[QUOTE]Восстановление не отключал (забыл). [/QUOTE]
Отключите, чтобы удалились старые КТ, потом можно включить обратно.
После этого неплохо бы логи еще раз, начиная с п.10 правил.
Отключил восстановление. Сделал логи.
И еще не нравится мне несколько файлов из system32. У них достаточно свежие даты создания и нет никакой инф. о производителе, названии и т.п.
Можно их выслать карантином?
В логах все чисто, можете не беспокоиться.
Единственно - вот этот файлик можно глянуть:
[QUOTE]C:\Program Files\Compaq\Easy Access Button Support\Uninst.exe >>> подозрение на Trojan.Win32.Small.kr ( 003E616C 00000000 0019A7AE 001E683C 24576)[/QUOTE]
Есть замечательный сервис - [URL="http://www.virustotal.com"]Virustotal[/URL] - можете проверить свои подозрительные файлы.
Uninst отправил
Uninst на Virustotal никем не детектится, видимо ложная тревога.
[QUOTE=Bratez;112079]Uninst на Virustotal никем не детектится, видимо ложная тревога.[/QUOTE]
скорее всего: [url]http://www.fbmsoftware.com/spyware-net/Application/Compaq_Easy_Access_Button/[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\atiddaxx.dll - [B]Trojan-Spy.Win32.Goldun.ph[/B] (DrWEB: Trojan.PWS.Kalibr)[*] c:\\windows\\system32\\atiddbxx.sys - [B]Trojan-Spy.Win32.Goldun.ph[/B] (DrWEB: Trojan.PWS.Kalibr)[*] c:\\windows\\system32\\kеrnеl32.dllx - [B]Trojan-PSW.Win32.Vipgsm.bk[/B] (DrWEB: Trojan.PWS.Vipgsm)[*] c:\\windows\\system32\\mswapi.dll - [B]Trojan-Spy.Win32.Iespy.n[/B] (DrWEB: Trojan.PWS.Iespy)[*] c:\\windows\\system32\\mswshell.dll - [B]Trojan-PSW.Win32.Vipgsm.bm[/B] (DrWEB: Trojan.PWS.Vipgsm)[/LIST][/LIST]