-
Junior Member
- Вес репутации
- 62
reset5.dll: отключение нескольких клавиш на клавиатуре
Добрый день!
Проблема на одной из машин. Антивирус: Trend OfficeScan.
С утра сотрудница пожаловалась на то, что у нее не работает клавиша "пробел" на компьютере. Сперва подумал, что у нее муханические повреждения. Однако, когда обнаружил, что кроме данной не работают клавиши "Enter" и "BackSpace", то у меня появилось подозрение на вирус. Укрепило мое убеждение просмотр запущенных процессов через Диспетчер задач.
До начала решения пропроверки антивирус не реагировал никак. Однако во время сканирования он обнаружил несколько вирусов, но удалить их не смог. Согласно правил решил отключить восстановление системы, но не получилось, так как система считала это действие ошибочным. Не отключая восстановление системы провел проверки DrWeb CureIt (обнаружил вирус anyprog.exe но не смог вылечить, а только позволил переименовать), AVZ (с обновленными базами).
Соответсвующие логи во вложении. Прошу помощи в очистке системы.
Последний раз редактировалось CandyMAN; 12.05.2008 в 13:15.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Желательно дожидаться окончания Куре-Ит, а потом делать логи АВЗ.
По сути:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syslog\syslog.exe','');
QuarantineFile('yes.exe','');
QuarantineFile('C:\WINDOWS\Temp\Toz31j56.sys','');
DeleteFile('C:\WINDOWS\system\270305.chm');
ExecuteSysClean;
RebootWindows(true);
end.
Загрузить карантин весь.
Добавлено через 1 минуту
Профиксить:
O9 - Extra button: (no name) - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - hччp://top.holm.ru/cgi-bin/link.cgi?l=book (file missing)
O9 - Extra 'Tools' menuitem: FUNNY SEXY PICTURES - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - hччp://top.holm.ru/cgi-bin/link.cgi?l=book (file missing)
Последний раз редактировалось PavelA; 25.03.2008 в 14:32.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Желательно дожидаться окончания Куре-Ит, а потом делать логи АВЗ.
CureIt отрабатывал 2 раза ... Первый раз при попытке вылечить файл вылетел синий экран и машину пришлось жестко перегрузить. Второй раз переименовал спокойно после чего был закрыт. По крайней мере я считал, что он закрыт.
При попытке загрузить карантин выходит ошибка "Сервер не найден - невозможно отобразить страницу"
Загрузил
Файл сохранён как 080325_083059_virus_47e8fe93a060a.zip
Размер файла 12384
MD5 883692a983c3deb61dee2348068c1d19
Последний раз редактировалось CandyMAN; 25.03.2008 в 16:31.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось CandyMAN; 12.05.2008 в 13:15.
-
avz00003.dta- Trojan-Spy.Win32.KeyLogger.ach - свежий по ЛК.
Посмотри, что за файлик. Сваяю скриптик.
З.Ы. Классный номер сообщения получился: 4444
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
PavelA
avz00003.dta- Trojan-Spy.Win32.KeyLogger.ach - свежий по ЛК.
Посмотри, что за файлик. Сваяю скриптик.
З.Ы. Классный номер сообщения получился: 4444
Вобщем то я не нашел этого файлика ... Он был удален.
--------
Я тут скриптик сам попробовал создать. Посмотрите правильно или нет ... ?
Последний раз редактировалось Макcим; 26.03.2008 в 20:53.
Причина: Убран потенциально опасный скрипт
-
Сообщение от
CandyMAN
Вобщем то я не нашел этого файлика ... Он был удален.
--------
Я тут скриптик сам попробовал создать. Посмотрите правильно или нет ... ?
Я переделаю скрипт, он не в корне неправильный. Даже попрошу модеров удалить его, чтобы кто-нибудь не исполнил его случаем.
Добавлено через 36 минут
yes.exe - от yahoo widgets, легитимный.
C:\WINDOWS\system32\syslog\syslog.exe - Trojan-Spy.Win32.KeyLogger.ach
reset5.dll от кряка.
Вот соответственно скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('reset5.dll');
DeleteFile('C:\WINDOWS\system32\syslog\syslog.exe');
ExecuteSysClean;
RebootWindows(true);
end.
После сделать новые логи.
Последний раз редактировалось PavelA; 26.03.2008 в 17:43.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 62
Логи готовы!
Судя по поведению машинки все неплохо ...
Последний раз редактировалось CandyMAN; 12.05.2008 в 13:15.
-
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Решите свои проблемы.
Можно пофиксить для порядка:
Код:
R3 - URLSearchHook: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
F3 - REG:win.ini: run=
В логах чисто,жалобы есть?
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Гриша
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Решите свои проблемы.
Можно
пофиксить для порядка:
Код:
R3 - URLSearchHook: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
F3 - REG:win.ini: run=
В логах чисто,жалобы есть?
Спасибо. Все в порядке. Думаю проблема решена ...