Показано с 1 по 16 из 16.

Неудаляемые файлы deflib.sys в системной папке и winlogon.exe в папке временных файлов пользователя (заявка № 15463)

  1. #1
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    89
    Вес репутации
    60

    Thumbs up Неудаляемые файлы deflib.sys в системной папке и winlogon.exe в папке временных файлов пользователя

    Добрый день, Дамы и Господа!

    Проблема состоит в том, что DrWeb обнаруживает зараженный файл deflib.sys и почти моментально spider удаляет этот файл при этом делая запись в своем файле журнала
    -----
    C:\WINNT\system32\DefLib.sys - инфицирован Trojan.NtRootKit.312
    C:\WINNT\system32\DefLib.sys - исцелен
    -----
    Исцеление заключается в банальном удалении этого файла, но после перезагрузки этот файл появляется вновь в этой же папке. Более детальный анализ показывает, что существует еще какой-то файл winlogon.exe, который находится в папке временных файлов пользователя. Этого файла изначально после загрузки компьютера нет, но он там появляется через 3-5 минут после загрузки и почти одновременно с ним появляется и файл deflib.sys. Вручную удалить winlogon.exe никак не удается

    Я попытался действовать в соответствии с инструкциями по созданию логов в AVZ и HijackThis, но и здесь все прошло не так, как должно было. После запуска скрипта по созданию файла virusinfo_syscure.zip он отработал и в конце выдал мне ошибку Invalid Variable Type, но файл все же создал, хоть и с другим именем (virusinfo_cure.zip). Скрипт по созданию файла virusinfo_syscheck.zip тоже завершил свое выполнение с ошибкой и даже файл не смог создать

    Попытаюсь выложить полученные два файла для более детального анализа специалистов и с нетерпением жду дальнейших рекомендаций. Возможно детальный анализ полученных мной логов указывает не только на проблемы, обнаруженные антивирусом, но и на другие более мелкие или незаметные.

    Заранее благодарен за оказанную помощь!

    P.S.

    При попытке прикрепления файла возникает окно с сообщением:

    Вы не авторизованы на форуме или не имеете доступа к этой странице. Это могло произойти по одной из нескольких причин:
    1. <LI class=smallfont>Вы не авторизованы на форуме. Введите имя пользователя и пароль и попробуйте еще раз. <LI class=smallfont>У вас недостаточно прав для обращения к этой странице. Возможно, вы пытаетесь обратиться к функциям администратора или к другим привилегированным функциям.
    2. Возможно, администратор отключил вашу учетную запись, или вы не активированы на форуме.
    Последний раз редактировалось Mister Simply; 19.12.2007 в 15:59. Причина: Попытка прикрепить файлы

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Киньте логи на virusinfo.ifolder.ru и сюда ссылки запостите

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Скорее всего, пока писали, ваш сеанс завершился по таймауту. Virusinfo_cure.zip - это карантин AVZ - его не следует прикреплять к теме. Что не создались логи - плохо Попробуйте так: программа AVZ - файл - исследование системы - поставьте галку "Создать zip-архив с протоколом исследования" и выберите "все службы и драйверы" - нажмите кнопку сформировать. По завершении формирования протокола - обязательно перезагрузите машину. После перезагрузки, сформированный протокол исследования и протокол HJT прикрепите к теме, если не получится прикрепить - выложите на файлообменник, ссылку опубликуйте в теме.
    Последний раз редактировалось Numb; 19.12.2007 в 16:13. Причина: Убрал скрипт нейтрализации руткитов - программа показывает перехваты при создании лога

  5. #4
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    89
    Вес репутации
    60

    Файлы логов AVZ и HJT

    Вот ссылки на полученные файлы:

    http://virusinfo.ifolder.ru/4627439

    http://virusinfo.ifolder.ru/4627278

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINNT\system32\DefLib.sys','');
     QuarantineFile('C:\WINNT\system32\vc6upd.dll','');
     QuarantineFile('c:\docume~1\nikolin\locals~1\temp\winlogon.exe','');
     DeleteFile('c:\docume~1\nikolin\locals~1\temp\winlogon.exe');
     DeleteFile('C:\WINNT\system32\DefLib.sys');
     BC_ImportAll;
     BC_QrFile('C:\WINNT\system32\DefLib.sys');
     BC_DeleteFile('C:\WINNT\system32\DefLib.sys');
     BC_DeleteSvc('Deflib');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15463

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    R3 - URLSearchHook: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
    O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
    O4 - HKLM\..\Run: [msmsg] reg add "HKCU\software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://start.traffer.ru/ /f
    O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Nikolin\LOCALS~1\Temp\winlogon.exe

  7. #6
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    89
    Вес репутации
    60
    Цитата Сообщение от rubin Посмотреть сообщение
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Nikolin\LOCALS~1\Temp\winlogon.exe[/code]
    Все сделал, как было описано, кроме двух вещей:
    1. Этого ключа (квотированного) я не смог найти
    2. Карантин не удалось закачать по указанной ссылке и я его выложил на http://virusinfo.ifolder.ru/4627837

    Спасибо огромное за помощь!
    Какие будут дальнейшие рекомендации?

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Повторите пока логи

    Этого ключа (квотированного) я не смог найти
    Это очень хорошо

    Добавлено через 5 минут

    В карантине
    Trojan-Proxy.Win32.Small.hu c:\docume~1\nikolin\locals~1\temp\winlogon.exe
    Последний раз редактировалось rubin; 19.12.2007 в 17:29. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    89
    Вес репутации
    60
    Это все происходит на моем рабочем компьютере. Завтра с утра обязательно повторю создание логов AVZ и HJT. Их нужно будет повторно выложить для анализа?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Разумеется. Затем и просили.

  11. #10
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    89
    Вес репутации
    60
    Вот сегодняшние утренние логи AVZ и HJT:

    http://virusinfo.ifolder.ru/4636481

    http://virusinfo.ifolder.ru/4636467

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    1.В avz выполнить скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
     QuarantineFile('c:\pvsw\bin\w3dbsmgr.exe','');
     QuarantineFile('nwfilter.sys','');
     QuarantineFile('C:\WINNT\system32\deviceemulator.exe','');
     QuarantineFile('C:\WINNT\system32\RusLat95.exe','');
    BC_ImportALL;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2.Выслать карантин согласно приложению 3 правил

  13. #12
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    89
    Вес репутации
    60
    Карантин отправил. В принципе, RusLat95 это переключатель раскладок, а w3dbsmgr это менеджер работы с БД от Pervasive SQL. Стоит их помещать в карантин или нет?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Если уверены в них, то пока не надо. Потом соберёте до кучи для базы безопасных.

  15. #14
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    89
    Вес репутации
    60
    Всем спасибо огромное за помощь! Мне понравилось

    Сегодня дома займусь тем же и произведу полный анализ компьютера при помощи AVZ и HJT. Он у меня тоже периодически "выделывается" и если отключить COMODO Firewall, то исходящий трафик начинает периодически "неразумно" увеличиваться. Дома у меня стоит Avira Antivir Personal Edition Professional с ежедневным обновлением и его папка карантина почти не бывает пустующей и постоянно наполняется различными файлами.
    Могу я сразу выслать логи AVZ и HJT для анализа и получения необходимых предписаний?

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Лучше выслать в новую тему, чтобы мы не путались

  17. #16
    Junior Member Репутация
    Регистрация
    19.12.2007
    Сообщений
    89
    Вес репутации
    60
    Так и сделаю вечером из дома. Спасибо ещё раз.

  • Уважаемый(ая) Mister Simply, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. неудаляемые вирусы в папке TEMP
      От webdesigner в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.03.2012, 21:18
    2. Неудаляемые файлы в папке sistem32
      От Kvendir в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 10.03.2010, 09:27
    3. Ответов: 6
      Последнее сообщение: 19.01.2010, 08:31
    4. большой файл в системной папке..
      От krab в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 05:03
    5. Ответов: 5
      Последнее сообщение: 27.05.2007, 20:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00991 seconds with 19 queries