-
Вложений: 3
остался ли троян?
Большое спасибо, ничего я сам не ограничивал, пофиксил.
После выполнения скрипта и перезагрузки AVZ снова ругнулся на ту же DLL в процессе сбора информации для лога.
Прикрепляю текущие логи - осталась ли зараза?
P.S. По поводу драйвера с изменяющимся именем - ведь всё так же висит. Все видимые остатки алкоголика прибил, все скрипты рекомендованные выполнил, а всё равно AVZ показывает в списке модулей в ядре этот драйвер. + в реестре поудалял кучу ключей в разделе сервисов.... Если он каждый раз новое имя берет да ещё и в реестре себя прописывает под новым именем - это же как реестр раздуется... Помогите прибить его, плз!
P.P.S. Загружать логи с инфицированного компьютера по прежнему невозможно - приходится перекидывать на другую машину...
-
Пришлите из карантина AVZ файл
[b]C:\Program Files\Internet Explorer\setupapi.dll[/b]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[quote]По поводу драйвера с изменяющимся именем - ведь всё так же висит. Все видимые остатки алкоголика прибил[/quote]
Попробуйте деинсталлировать Daemon Tools.
-
@Bratez файл уже в карантине и даже проанализирован на вирустотал.
@_RRR_ См. настройки IE. Может что-то надо поправить, чтобы отправлять логи с этого компьютера. От Алкоголя в ядре болталось пару файликов.
-
@Bratez
Карантин выслал. Там снова тот же setupapi.dll.
От Daemon Tools остались только драйверы %) Попробую инсталлировать и удалить заново.
@PavelA настроек не менял.... Не могли бы Вы уточнить что именно осталось от алкоголика?
C:\Program Files\Internet Explorer\setupapi.dll в системе по-прежнему. Если файл удалить (например из FAR'а), он снова восстанавливается (это при том, что dllcache очищен, и на любой "нормальный" удалённый системный файл винды просят вставить компакт диск, т.к. восстановить неоткуда).
Как бы его ликвиднуть всё же безвозвратно?...
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
Filemon от Sysinternals показывает интересную вещь:
explorer.exe периодически открывает подряд 3 файла
msacm32.drv
setupapi.dll
wuasirvy.dll
Причём права доступа - "Open access:All"
Проверяет, что троян на месте похоже.... :(
-
[QUOTE=_RRR_;162060]
@PavelA настроек не менял.... Не могли бы Вы уточнить что именно осталось от алкоголика?
C:\Program Files\Internet Explorer\setupapi.dll в системе по-прежнему. Если файл удалить (например из FAR'а), он снова восстанавливается (это при том, что dllcache очищен, и на любой "нормальный" удалённый системный файл винды просят вставить компакт диск, т.к. восстановить неоткуда).
Как бы его ликвиднуть всё же безвозвратно?...
[/QUOTE]
В последних логах ничего от Алкоголя нет. Кстати, подозрение на этот файл по virustotal только у двух-трех антивирусов. М.б. с "мистикой"
боремся. Надо успокоится и забыть об этом файле.
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
wuasirvy.dll - надо проверять. [url]http://downloads.andymanchesta.com/RemovalTools/SDFix.exe[/url] - скачай и проверься этим.
-
кажется всё же это троян.
там, где у "приличных" исполнимых файлов таблица импорта/экспорта, у этого всякая ерунда прописана.
Да и по поведению с этой dll не всё в порядке. Лучше от неё избавиться.
"[URL="http://downloads.andymanchesta.com/RemovalTools/SDFix.exe"]http://downloads.andymanchesta.com/R...ools/SDFix.exe[/URL] "
NOD опознал какойто ProcView или чтото подобное. Удалил в свой карантин при сохранении. Может быть лучше подозрительных файлов в систему не добавлять? ;)
[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]
wuasirvy.dll - поиск по инету показывает, что троян.
Надо убивать....
-
SDFix с этим борется достаточно успешно, надо только Нода отключать, чтобы он не мешал. Это проверенное средство.
-
Спасибо, сейчас опробую.
А пока вот содержимое wuasirvy.dll
[g]
l=345345
j=28305115
y=30
v=uttcomm/vpe:pbfgp:/mfxmp:asv.gbva
n=uttcomm/vpe:pbfgp:/mfxmnqqgcuc
Оччень интересная dll :)
[size="1"][color="#666686"][B][I]Добавлено через 27 минут[/I][/B][/color][/size]
SDfix:
Trojan Files Found:
C:\W\system32\rasqervy.dll - Deleted
C:\W\system32\sdfinacs.dll - Deleted
C:\W\system32\sdfixwcs.dll - Deleted
C:\W\system32\wuasirvy.dll - Deleted
C:\W\system32\wsnpoem\audio.dll - Deleted
C:\W\system32\wsnpoem\audio.dll.cla - Deleted
C:\W\system32\wsnpoem\video.dll - Deleted
-
Вот видишь, а ты сомневался ;)
-
Да, пока вроде больше никаких проявлений заразы не вижу... до поры до времени %) Остаётся только гадать сколько там ещё dll сидит левых - такая огроменная куча файлов...
Спасибо всем за помощь!
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\internet explorer\\setupapi.dll - [B]Trojan.Win32.Agent.dkf[/B][/LIST][/LIST]
Page generated in 0.00215 seconds with 10 queries