-
Junior Member
- Вес репутации
- 62
некий кейлоггер dll.dll
Принесли на диагностику комп, инфицированный каким-то загрузчиком троянов и тем, что этот загрузчик "нагрузил". На компе был убит штатный антивирус NOD32, невозможно было запустить CureIt и AVZ4 (данные средства запускались только после переименования). После длительных страданий многое восстановилось но осталось что-то подозрительное под названием dll.dll. Прошу помощи.
Последний раз редактировалось Figaro2000; 25.05.2009 в 17:19.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('C:\WINDOWS\system32\users32.dat','');
QuarantineFile('C:\WINDOWS\System32\Dll.dll','');
QuarantineFile('c:\windows\system32\kerneldrv.exe','');
QuarantineFile('c:\windows\system32\bolenjx.exe','');
DeleteFile('c:\windows\system32\bolenjx.exe');
DeleteFile('c:\windows\system32\kerneldrv.exe');
DeleteFile('C:\WINDOWS\System32\Dll.dll');
DeleteFile('C:\WINDOWS\system32\users32.dat');
DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
BC_ImportALL;
BC_DeleteSvc('lanmandrv');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи.
-
-
Junior Member
- Вес репутации
- 62
новые логи
1. содержимое карантина и новые логи
2. во время выполнения скрипта наблюдались ошибки вида -
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Dll.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (c:\windows\system32\kerneldrv.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (c:\windows\system32\bolenjx.exe)
Последний раз редактировалось Figaro2000; 25.05.2009 в 17:18.
-
пофиксите ...
Код:
O4 - HKLM\..\Run: [bolenjx] bolenjx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O16 - DPF: {33331111-1111-1111-1111-615111193427}
O20 - AppInit_DLLs: kus552.dat
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\bolenjx.exe');
DeleteFile('C:\WINDOWS\system32\users32.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
-
-
Junior Member
- Вес репутации
- 62
новые логи согласно правилам
Последний раз редактировалось Figaro2000; 25.05.2009 в 17:18.
-
-
-
Junior Member
- Вес репутации
- 62
-
не видно ничего зловредного ...
но пришлите на всякий случай qkbfiltr.sys ( авз - сервис - поиск файлов на диске)
из этого что -то используется ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
-
-
Junior Member
- Вес репутации
- 62
1. отправлен запрошенный qkbfiltr.sys
2. область применения ПК - домашний
-
присланный файл чистый ...
для отключения служб выполните скрипт ...
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\users32.dat - not-a-virus:AdWare.Win32.Agent.zo (DrWEB: Trojan.Click.5043)
-