необходимо уничтожить трояновскую библиотеку

**irbi** · 23.08.2010, 00:58

Здравствуйте! Помогите, пожалуйста, добить вирусы окончательно. Второй день гоняю, с переменным, но всё-таки успехом. Сканировала своим анивирусом avast , утилитами - доктор. веб и AVZ.

При последнем сканировании сегодня в безопасном режиме аваст и доктор веб ничего больше не обнаружили, а вот AVZ показала:

1. Маскировка процесса с PID=1192, имя = "7c75b_xp.exe", полное имя = "\Device\HarddiskVolume1\Documents and Settings\User\Local Settings\Temp\F1FE7AE3-3DE51747-90403EED-AA13DFE4\7c75b_xp.exe"
>> обнаружена подмена PID (текущий PID=1631808845, реальный = 1192)
>> обнаружена подмена имени, новое имя = ""

2. При эвристической проверке есть подозрение на скрытую библиотеку ApplNit DLLS. AppCertDlls.
Полагаю, что из неё всё и лезет. Т.к. вчера маскировка была у других процессов - чистила папку вручную.

3.Поиск потенциальных уязвимостей:
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Настройки, закрывающие доступ, включены, но не срабатывают. Возможно, что из-за первых двух проблем? Помогите разобраться. Логи по правилам сделала, прилагаю к сообщению.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 23.08.2010, 01:14

Ничего из того, о чем Вы ведете речь, в логах не замечено

**irbi** · 23.08.2010, 01:32

thyrex
Это показывает только безопасный режим!

Добавлено через 12 минут

И даже в обычном режиме.
Только сейчас прошлась по адресу: C:\Documents and Settings\User\Local Settings\Temp - 4 левых новых папки внутри, которые никто не создавал!

**polword** · 23.08.2010, 05:59

- Выполните скрипт в AVZ

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RebootWindows(true);
end.

После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте лог MBAM

**irbi** · 23.08.2010, 18:54

Только что отсканировалась, прилагаю лог MBAM. Нашёл 3 . Сканер пока не закрывала, рекомендует удалить.

А карантин пишет ошибку, что такой файл уже был загружен. Хотя я до того ничего не грузила.

**polword** · 23.08.2010, 19:39

- удалите в MBAM

Код:

Зараженные файлы:
C:\WINDOWS\system32\config\systemprofile\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
C:\Documents and Settings\User\Application Data\avdrn.dat (Malware.Trace) -> No action taken.

- найдите файл C:\WINDOWS\system32\DRIVERS\cdrom.sys и пришлите его запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

**irbi** · 23.08.2010, 20:12

Удалила в MBAM. Отчёт прилагаю.
Указанного драйвера в системной папке нет, видимо в MBAM он удалился вместе с вирусами. И CDRom, как оказалось, теперь тоже не работает.

**irbi** · 24.08.2010, 01:50

Снова сканировалась в AVZ в обычном режиме. Снос МВАМом драйвера CD-Roma ничего не решил, только осталась без сидирома. А проблемы по-прежнему на месте, кроме маскировки процессов. Но в обычном режиме их AVZ их и не показывала, только в безопасном.