NOD32 обнаружил данный вирус в файле /system32/pmkjj.dll, удалить не может
CureIT нашел удалить не смог
Спасибо
NOD32 обнаружил данный вирус в файле /system32/pmkjj.dll, удалить не может
CureIT нашел удалить не смог
Спасибо
Т.к. это 2003 сервер , то возможны ошибки.
Надо выполнить скрипт:
То, что попадет в карантин, загрузить по ссылке вверху темы.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\System32\mswsock.dll',''); QuarantineFile('C:\SRV_W2K3\system32\jkhff.dll',''); QuarantineFile('C:\SRV_W2K3\system32\lelkmjka.dll',''); QuarantineFile('fccyvwu.dll',''); QuarantineFile('\SystemRoot\System32\Drivers\Cdrom.SYS',''); QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe',''); DeleteFile('fccyvwu.dll'); DeleteFile('C:\SRV_W2K3\system32\lelkmjka.dll'); DeleteFile('C:\SRV_W2K3\system32\jkhff.dll'); BC_DeleteFile('fccyvwu.dll'); BC_DeleteFile('C:\SRV_W2K3\system32\lelkmjka.dll'); BC_DeleteFile('C:\SRV_W2K3\system32\jkhff.dll'); ExecuteSysClean; BC_ImportAll; BC_Activate; RebootWindows(true); end.
Если вдруг ничего не найдется, то поискать через AVZ, добавить в рантин и прислать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
что значит
надеюсь ошибки сервак не порушатТ.к. это 2003 сервер , то возможны ошибки.
Добавлено через 1 час 10 минут
отправил карантин AVZ, правильно или нет?
Добавлено через 10 минут
при входе в систему под другим пользователем, вываливается 2 окошка:Заголовок- RUNDLLСообщение: ошибка призагрузке c:\srv_w2k3\system32\lennvads.dll не найден указанный модуль.кнопка - ОКво втором окошке тоже, только файл jkhff.dllВ чем может быть дело?
Последний раз редактировалось zurk; 05.07.2007 в 15:15. Причина: Добавлено сообщение
В том, что у другого пользователя эта ботва прописалась в настройках, а зловредные файлы уже удалены. Сделайте лог HijackThis из-под этого пользователя, скажем, что надо пофиксить.
ок
а что с карантином, я правильно отправил?
C:\SRV_W2K3\system32\nnnlkjh.dll - Trojan.Vundo (Симантек)
AdWare.Win32.Virtumonde.it(по Касперскому)
Больше ничего не попало.
Выполните скрипт:
Код:begin BC_deletefile('C:\SRV_W2K3\system32\nnnlkjh.dll'); BC_deletefile('C:\SRV_W2K3\system32\pmkjj.dll'); BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 05.07.2007 в 17:37. Причина: Добавил еще одного THK Bratez
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
вот лог от другого юзера
пофиксите
повторите потом лог.Код:O2 - BHO: (no name) - {2980D878-2F95-4705-9E90-F62606C8F5AC} - C:\SRV_W2K3\system32\pmkjj.dll (file missing) O2 - BHO: (no name) - {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} - C:\SRV_W2K3\system32\fccyvwu.dll (file missing) O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\SRV_W2K3\system32\lelkmjka.dll (file missing) O2 - BHO: (no name) - {E91FFB04-DCF1-4ED0-AA61-350CF4CB953E} - C:\SRV_W2K3\system32\jkhff.dll (file missing) O4 - HKLM\..\Run: [Windows DLL Loader] C:\SRV_W2K3\system32\zpmril.exe O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\SRV_W2K3\system32\algs.exe O20 - Winlogon Notify: fccyvwu - C:\SRV_W2K3\ O20 - Winlogon Notify: pmkjj - C:\SRV_W2K3\system32\pmkjj.dll (file missing)
Последний раз редактировалось Muzzle; 06.07.2007 в 08:20. Причина: отпечатка %)
Пофиксил, ошибка осталась, вот лог
Выполните скрипт в AVZ
должно убить последнею ошибку.Код:begin SysCleanAddFile('c:\srv_w2k3\system32\lennvads.dll'); ExecuteSysClean; end.
сделал
ребутить надо?
перелогинился ошибка осталась
попробуйте такой скрипт
если всё ещё будет ошибка то,воспользуйтесь AVZ-- сервис--поиск данных в реестре и сделайте поиск lennvads.dll и найденные ключи удалите.Код:begin SysCleanAddFile('lennvads.dll'); ExecuteSysClean; end.
не помогло
поиск в реестре ничего не дал
В порядке бреда - у пользователя какой вид папок настроен? Если поставить обычные папки Windows - ошибка пропадёт?
всё оказалось прощепоискал regedit'ом, и нашел по пути HKEY_USERS\S-1-5-21-414311402-28537704-2644733706-1003\Software\Microsoft\Windows\CurrentVersion\Run следующие записи:cmds=rundll32.exe C:\\SRV_W2K3\\system32\\jkhff.dll,CreateProtectPro cInfoData=rundll32.exe C:\\SRV_W2K3\\system32\\lennvads.dll\realsetудалил , ошибка пропала, правда пока не перегружался.есть смысл, логи сделать?
сделайте логи чтоб убедиться,что всё чисто.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\srv_w2k3\\system32\\nnnlkjh.dll - not-a-virus:AdWare.Win32.Virtumonde.it (DrWEB: Trojan.Virtumod)
Уважаемый(ая) zurk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.