-
Junior Member
- Вес репутации
- 60
Неудаляемые файлы deflib.sys в системной папке и winlogon.exe в папке временных файлов пользователя
Добрый день, Дамы и Господа!
Проблема состоит в том, что DrWeb обнаруживает зараженный файл deflib.sys и почти моментально spider удаляет этот файл при этом делая запись в своем файле журнала
-----
C:\WINNT\system32\DefLib.sys - инфицирован Trojan.NtRootKit.312
C:\WINNT\system32\DefLib.sys - исцелен
-----
Исцеление заключается в банальном удалении этого файла, но после перезагрузки этот файл появляется вновь в этой же папке. Более детальный анализ показывает, что существует еще какой-то файл winlogon.exe, который находится в папке временных файлов пользователя. Этого файла изначально после загрузки компьютера нет, но он там появляется через 3-5 минут после загрузки и почти одновременно с ним появляется и файл deflib.sys. Вручную удалить winlogon.exe никак не удается
Я попытался действовать в соответствии с инструкциями по созданию логов в AVZ и HijackThis, но и здесь все прошло не так, как должно было. После запуска скрипта по созданию файла virusinfo_syscure.zip он отработал и в конце выдал мне ошибку Invalid Variable Type, но файл все же создал, хоть и с другим именем (virusinfo_cure.zip). Скрипт по созданию файла virusinfo_syscheck.zip тоже завершил свое выполнение с ошибкой и даже файл не смог создать
Попытаюсь выложить полученные два файла для более детального анализа специалистов и с нетерпением жду дальнейших рекомендаций. Возможно детальный анализ полученных мной логов указывает не только на проблемы, обнаруженные антивирусом, но и на другие более мелкие или незаметные.
Заранее благодарен за оказанную помощь!
P.S.
При попытке прикрепления файла возникает окно с сообщением:
Вы не авторизованы на форуме или не имеете доступа к этой странице. Это могло произойти по одной из нескольких причин:
- <LI class=smallfont>Вы не авторизованы на форуме. Введите имя пользователя и пароль и попробуйте еще раз. <LI class=smallfont>У вас недостаточно прав для обращения к этой странице. Возможно, вы пытаетесь обратиться к функциям администратора или к другим привилегированным функциям.
- Возможно, администратор отключил вашу учетную запись, или вы не активированы на форуме.
Последний раз редактировалось Mister Simply; 19.12.2007 в 15:59.
Причина: Попытка прикрепить файлы
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Киньте логи на virusinfo.ifolder.ru и сюда ссылки запостите
-
-
Скорее всего, пока писали, ваш сеанс завершился по таймауту. Virusinfo_cure.zip - это карантин AVZ - его не следует прикреплять к теме. Что не создались логи - плохо Попробуйте так: программа AVZ - файл - исследование системы - поставьте галку "Создать zip-архив с протоколом исследования" и выберите "все службы и драйверы" - нажмите кнопку сформировать. По завершении формирования протокола - обязательно перезагрузите машину. После перезагрузки, сформированный протокол исследования и протокол HJT прикрепите к теме, если не получится прикрепить - выложите на файлообменник, ссылку опубликуйте в теме.
Последний раз редактировалось Numb; 19.12.2007 в 16:13.
Причина: Убрал скрипт нейтрализации руткитов - программа показывает перехваты при создании лога
-
-
Junior Member
- Вес репутации
- 60
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINNT\system32\DefLib.sys','');
QuarantineFile('C:\WINNT\system32\vc6upd.dll','');
QuarantineFile('c:\docume~1\nikolin\locals~1\temp\winlogon.exe','');
DeleteFile('c:\docume~1\nikolin\locals~1\temp\winlogon.exe');
DeleteFile('C:\WINNT\system32\DefLib.sys');
BC_ImportAll;
BC_QrFile('C:\WINNT\system32\DefLib.sys');
BC_DeleteFile('C:\WINNT\system32\DefLib.sys');
BC_DeleteSvc('Deflib');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=15463
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
R3 - URLSearchHook: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [msmsg] reg add "HKCU\software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d http://start.traffer.ru/ /f
O4 - HKLM\..\Run: [msn] reg add "HKLM\software\Microsoft\Internet Explorer\Main" /v "First Home Page" /t REG_SZ /d http://start.traffer.ru/first/ /f
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Nikolin\LOCALS~1\Temp\winlogon.exe
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
rubin
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Nikolin\LOCALS~1\Temp\winlogon.exe[/code]
Все сделал, как было описано, кроме двух вещей:
1. Этого ключа (квотированного) я не смог найти
2. Карантин не удалось закачать по указанной ссылке и я его выложил на http://virusinfo.ifolder.ru/4627837
Спасибо огромное за помощь!
Какие будут дальнейшие рекомендации?
-
Повторите пока логи
Этого ключа (квотированного) я не смог найти
Это очень хорошо
Добавлено через 5 минут
В карантине
Trojan-Proxy.Win32.Small.hu c:\docume~1\nikolin\locals~1\temp\winlogon.exe
Последний раз редактировалось rubin; 19.12.2007 в 17:29.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 60
Это все происходит на моем рабочем компьютере. Завтра с утра обязательно повторю создание логов AVZ и HJT. Их нужно будет повторно выложить для анализа?
-
Разумеется. Затем и просили.
-
-
Junior Member
- Вес репутации
- 60
-
1.В avz выполнить скрипт:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\pvsw\bin\w3dbsmgr.exe','');
QuarantineFile('nwfilter.sys','');
QuarantineFile('C:\WINNT\system32\deviceemulator.exe','');
QuarantineFile('C:\WINNT\system32\RusLat95.exe','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2.Выслать карантин согласно приложению 3 правил
-
-
Junior Member
- Вес репутации
- 60
Карантин отправил. В принципе, RusLat95 это переключатель раскладок, а w3dbsmgr это менеджер работы с БД от Pervasive SQL. Стоит их помещать в карантин или нет?
-
Если уверены в них, то пока не надо. Потом соберёте до кучи для базы безопасных.
-
-
Junior Member
- Вес репутации
- 60
Всем спасибо огромное за помощь! Мне понравилось
Сегодня дома займусь тем же и произведу полный анализ компьютера при помощи AVZ и HJT. Он у меня тоже периодически "выделывается" и если отключить COMODO Firewall, то исходящий трафик начинает периодически "неразумно" увеличиваться. Дома у меня стоит Avira Antivir Personal Edition Professional с ежедневным обновлением и его папка карантина почти не бывает пустующей и постоянно наполняется различными файлами.
Могу я сразу выслать логи AVZ и HJT для анализа и получения необходимых предписаний?
-
Лучше выслать в новую тему, чтобы мы не путались
-
-
Junior Member
- Вес репутации
- 60
Так и сделаю вечером из дома. Спасибо ещё раз.