Показано с 1 по 17 из 17.

ldcore.dll и другие звери (заявка № 10949)

  1. #1
    Junior Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    8
    Вес репутации
    62

    Question ldcore.dll и другие звери

    Добрый день всем! Возникла у меня следующая проблема: ноут перестал загружаться в нормальном режиме, но последняя удачная конфигурация загрузилась, зато кроме прочей пакости в папке c:\windows\system32 обнаружился файлик ldcore.dll, дата создания которого совпадает с предположительной датой падения системы. Удалить себя не дает, говорит, что занят неким процессом. Когда пытаешься разблокировать анлокером, становится видно, что к нему обращаются практически все запущенные на компьютере приложения. Каждое из них удается разблокировать, но, когда доходит очередь до svchost.exe, система уходит в перезагрузку, говоря, что произошла недопустимая ошибка. Есть подозрение, что это не единственная проблем данного ноута. Знатоки, пожалуйста, посоветуйте, как с этим жить дальше...
    Вложения Вложения
    Последний раз редактировалось Ita; 10.07.2007 в 16:23.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     BC_QrSvc('pe386');
     BC_QrSvc('windev-59c2-168b');
     BC_QrFile('C:\WINDOWS\system32\lzx32.sys');
     BC_QrFile('C:\WINDOWS\system32\windev-59c2-168b.sys');
     BC_DeleteSvc('pe386');
     BC_DeleteSvc('windev-59c2-168b');
     BC_DeleteFile('C:\WINDOWS\system32\lzx32.sys');
     BC_DeleteFile('C:\WINDOWS\system32\windev-59c2-168b.sys');
     BC_Activate;
     RebootWindows(true);
    end.
    Потом ещё один
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\TEMP\PNB190.EXE','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt62.dll','');
     QuarantineFile('c:\windows\system32\ldcore.dll','');
     DeleteFile('c:\windows\system32\ldcore.dll');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
    O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить скрипт:

    Код:
    begin
    DeleteFile('C:\*.tmp');
    DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temp\*.tmp');
     end.
    Наверное, пришла пора менять антивирус. Нельзя жить с такой дырой.
    Последний раз редактировалось PavelA; 10.07.2007 в 14:42. Причина: Опередили-и-и-и
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    8
    Вес репутации
    62
    Все рекомендации выполнялись в том порядке, в котором были здесь изложены. После следующего действия
    Цитата Сообщение от Maxim Посмотреть сообщение
    "Пофиксите" в HijackThis
    Код:
    O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
     O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
    вылезло окошко "VF11D8.EXE обнаружена ошибка. Приложение будет закрыто." Да, и еще в HijackThis первую строку обнаружить не удалось. Других проблем не возникло. После вот этого действия
    Цитата Сообщение от PavelA Посмотреть сообщение
    Выполнить скрипт:
    Код:
    begin
    DeleteFile('C:\*.tmp');
    DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temp\*.tmp');
     end.
    AVZ сообщил, что для удаления файлов необходима перезагрузка. Однако у меня серьезное подозрение, что перезагрузка ничего не дала, т.к. файлы в папке Temp все остались в наличии, а, как я понимаю, не должны были... Впрочем, возможно, я заблуждаюсь.
    Прилагаю новые логи.
    Карантин выслан.
    Вложения Вложения
    Последний раз редактировалось Ita; 10.07.2007 в 16:46.

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Повторим усиленный скрипт:

    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temp\*.tmp');
    DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temp\*.tmp');
    BC_ImportAll;
    BC_Activate;
    end.
    Если не удалит, то надо будет удалять из защищенного режима.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    8
    Вес репутации
    62
    PavelA, если этот скрипт должен был удалить файлы *.tmp из папки C:\Documents and Settings\1\Local Settings\Temp\ , то ожидаемого результата не произошло. AVZ требует перезагрузки, после которой эти файлы остаются на прежднем месте. Ежели он делает нечто другое - не знаю.
    Вопрос: может, грохнуть эти файлы руками?
    Новые логи прикрепить (у меня впечатление, что они не будут отличаться от предыдущих)?
    Спасибо.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    выполнить скрипт:

    Код:
    begin
    ExecuteAVUpdate;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\msvcrt62.dll','');
     BC_ImportAll;
     BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин после перезагрузки по ссылке вверху темы.

    Думаю, что вот эта dll-ка держит эти временные файлы.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    8
    Вес репутации
    62
    PavelA, карантин загружен.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Это зверь. Даже Симантек его знает. Какой-то Downloader.
    Будем удалять.

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\msvcrt62.dll');
     BC_ImportAll;
     BC_Activate;
    RebootWindows(true);
    end.
    После этого выполни очистку Temp-директорий.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    8
    Вес репутации
    62
    После перезагрузки выскочило окно об ошибке приложения CZB75D.EXE

    Цитата Сообщение от PavelA Посмотреть сообщение
    После этого выполни очистку Temp-директорий.
    При помощи предыдущего кода или руками?

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Попробуй руками. Если будут удаляться, то тогда можно скриптом, который писал выше.

    в добавок выполни скрипт:
    Код:
    begin
    SetAVZGuardStatus(true);
    SysCleanAddFile('C:\WINDOWS\system32\msvcrt62.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Сделай новые логи.

    Ошибка приложения довольно странная. Похоже, что ломается Trend Scan Guard.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    8
    Вес репутации
    62
    После всех попыток удалить файлы при помощи скрипта компьютер как-то странно зависал: управлять текущим окошком (свернуть, развернуть, закрыть) можно, но кнопка "Пуск", панель задач и трей на клики не реагируют. Перезагрузка возможна только с кнопки. После перезагрузки временные файлы на месте.

    После удаления руками всех файлов из папки...\1\...\Temporary Internet Files\ проводник показывает (показ скрытых и системных файлов, естественно, включен), что в папке пусто (в т.ч. после перезагрузки), но в свойствах папки показан размер 33170 байт.

    Кстати, может, стоит очистить и ...\LocalService\...\ Temporary Internet Files \ и ...\NetworkService\...\ TemporaryInternetFiles\?

    Из папок
    ...\1\...\Temp\
    ...\LocalService\...\Temp\
    ...\NetworkService\...\Temp\
    все удалилось без проблем руками.

    После выполнения скрипта
    Цитата Сообщение от PavelA Посмотреть сообщение
    Код:
    begin
    SetAVZGuardStatus(true);
    SysCleanAddFile('C:\WINDOWS\system32\msvcrt62.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    AVZговорит, что скрипт выполнен без ошибок, но снова происходит зависание с невозможностью докликаться до "Пуска". Перезагрузка с кнопки.
    Вложения Вложения

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Профиксить в HijackThis

    Код:
    O21 - SSODL: msvcrt62.dll - {39559E3A-FFB0-4D49-87CC-E13F8367DE33} - msvcrt62.dll (file missing)
    Более ничего плохого не вижу. Для полного успокоения скачать Cure-It и сделать полную проверку диска, не экспресс-анализ.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    8
    Вес репутации
    62
    PavelA, с помощью Cure-It было найдено и нейтрализовано еще какое-то количество пакости. На комп был поставлен Avast, после чего комп был возвращен владельцу. Через день этот комп вернулся ко мне с тем же диагнозом: не грузится, выдает черный экран.
    Последняя удачная конфигурация, как и прежде, загрузилась. Система даже не ругнулась на то, что она была восстановлена после серьезной ошибки.
    Попытки просканировать систему с помощью Avast или Cure-It дают зависание системы где-то на середине процесса.
    AVZ снял логи только раза с двадцатого - вылетал просто без всяких ошибок и без логов. Молча закрывается окно, и все тут...
    Что с этим делать?
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Начать с удаления трендмикро, вон дров от него видно за версту
    C:\Program Files\Trend Micro\OfficeScan Client\VSApiNt.sys
    C:\Program Files\Trend Micro\OfficeScan Client\TmXPFlt.sys
    C:\Program Files\Trend Micro\OfficeScan Client\TmPreFlt.sys

    не забудте прислать новый архив , который получился от последних скриптов. Там один файл интересный должен быть.( C:\WINDOWS\system32\NVWRSRU.DLL
    если нет, добавте по инструкции приложения 2 правил.)

  17. #16
    Junior Member Репутация
    Регистрация
    10.07.2007
    Сообщений
    8
    Вес репутации
    62
    Цитата Сообщение от drongo Посмотреть сообщение
    не забудте прислать новый архив
    Архив выслан.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\ldcore.dll - Trojan-Downloader.Win32.Small.dxm (DrWEB: Trojan.DownLoader.1846
      2. c:\\windows\\system32\\msvcrt62.dll - Trojan-Downloader.Win32.Small.ecl (DrWEB: Trojan.DownLoader.28156)


  • Уважаемый(ая) Ita, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. lsass, csrss и другие звери.
      От frangoly в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 30.04.2011, 11:18
    2. Звери
      От ПblBO в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 29.07.2009, 16:30
    3. Звери
      От ПblBO в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.05.2009, 17:06
    4. Звери
      От ПblBO в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 07.04.2009, 10:09
    5. Звери
      От ПblBO в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 04.04.2009, 19:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00726 seconds with 20 queries