Показано с 1 по 10 из 10.

reset5.dll: отключение нескольких клавиш на клавиатуре (заявка № 20398)

  1. #1
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    39

    Thumbs up reset5.dll: отключение нескольких клавиш на клавиатуре

    Добрый день!
    Проблема на одной из машин. Антивирус: Trend OfficeScan.
    С утра сотрудница пожаловалась на то, что у нее не работает клавиша "пробел" на компьютере. Сперва подумал, что у нее муханические повреждения. Однако, когда обнаружил, что кроме данной не работают клавиши "Enter" и "BackSpace", то у меня появилось подозрение на вирус. Укрепило мое убеждение просмотр запущенных процессов через Диспетчер задач.
    До начала решения пропроверки антивирус не реагировал никак. Однако во время сканирования он обнаружил несколько вирусов, но удалить их не смог. Согласно правил решил отключить восстановление системы, но не получилось, так как система считала это действие ошибочным. Не отключая восстановление системы провел проверки DrWeb CureIt (обнаружил вирус anyprog.exe но не смог вылечить, а только позволил переименовать), AVZ (с обновленными базами).
    Соответсвующие логи во вложении. Прошу помощи в очистке системы.
    Последний раз редактировалось CandyMAN; 12.05.2008 в 12:15.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Желательно дожидаться окончания Куре-Ит, а потом делать логи АВЗ.

    По сути:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\syslog\syslog.exe','');
     QuarantineFile('yes.exe','');
     QuarantineFile('C:\WINDOWS\Temp\Toz31j56.sys','');
     DeleteFile('C:\WINDOWS\system\270305.chm');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Загрузить карантин весь.

    Добавлено через 1 минуту

    Профиксить:
    O9 - Extra button: (no name) - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - hччp://top.holm.ru/cgi-bin/link.cgi?l=book (file missing)
    O9 - Extra 'Tools' menuitem: FUNNY SEXY PICTURES - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - hччp://top.holm.ru/cgi-bin/link.cgi?l=book (file missing)
    Последний раз редактировалось PavelA; 25.03.2008 в 14:32. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    39
    Желательно дожидаться окончания Куре-Ит, а потом делать логи АВЗ.
    CureIt отрабатывал 2 раза ... Первый раз при попытке вылечить файл вылетел синий экран и машину пришлось жестко перегрузить. Второй раз переименовал спокойно после чего был закрыт. По крайней мере я считал, что он закрыт.

    При попытке загрузить карантин выходит ошибка "Сервер не найден - невозможно отобразить страницу"

    Загрузил
    Файл сохранён как 080325_083059_virus_47e8fe93a060a.zip
    Размер файла 12384
    MD5 883692a983c3deb61dee2348068c1d19
    Последний раз редактировалось CandyMAN; 25.03.2008 в 16:31. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    39
    Провел вновь сбор логов.
    Последний раз редактировалось CandyMAN; 12.05.2008 в 12:15.

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    avz00003.dta- Trojan-Spy.Win32.KeyLogger.ach - свежий по ЛК.

    Посмотри, что за файлик. Сваяю скриптик.

    З.Ы. Классный номер сообщения получился: 4444
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    39
    Цитата Сообщение от PavelA Посмотреть сообщение
    avz00003.dta- Trojan-Spy.Win32.KeyLogger.ach - свежий по ЛК.

    Посмотри, что за файлик. Сваяю скриптик.

    З.Ы. Классный номер сообщения получился: 4444
    Вобщем то я не нашел этого файлика ... Он был удален.

    --------
    Я тут скриптик сам попробовал создать. Посмотрите правильно или нет ... ?
    Последний раз редактировалось Макcим; 26.03.2008 в 20:53. Причина: Убран потенциально опасный скрипт

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от CandyMAN Посмотреть сообщение
    Вобщем то я не нашел этого файлика ... Он был удален.

    --------
    Я тут скриптик сам попробовал создать. Посмотрите правильно или нет ... ?
    Я переделаю скрипт, он не в корне неправильный. Даже попрошу модеров удалить его, чтобы кто-нибудь не исполнил его случаем.

    Добавлено через 36 минут

    yes.exe - от yahoo widgets, легитимный.
    C:\WINDOWS\system32\syslog\syslog.exe - Trojan-Spy.Win32.KeyLogger.ach
    reset5.dll от кряка.

    Вот соответственно скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('reset5.dll');
     DeleteFile('C:\WINDOWS\system32\syslog\syslog.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После сделать новые логи.
    Последний раз редактировалось PavelA; 26.03.2008 в 17:43. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    39
    Логи готовы!
    Судя по поведению машинки все неплохо ...
    Последний раз редактировалось CandyMAN; 12.05.2008 в 12:15.

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    Решите свои проблемы.

    Можно пофиксить для порядка:

    Код:
    R3 - URLSearchHook: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
    F3 - REG:win.ini: run=

    В логах чисто,жалобы есть?

  11. #10
    Junior Member Репутация
    Регистрация
    06.07.2007
    Адрес
    Архангельск
    Сообщений
    99
    Вес репутации
    39
    Цитата Сообщение от Гриша Посмотреть сообщение
    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    Решите свои проблемы.

    Можно пофиксить для порядка:

    Код:
    R3 - URLSearchHook: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
    F3 - REG:win.ini: run=
    В логах чисто,жалобы есть?
    Спасибо. Все в порядке. Думаю проблема решена ...

  • Уважаемый(ая) CandyMAN, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 22.11.2010, 12:20
    2. Ответов: 2
      Последнее сообщение: 05.03.2010, 00:00
    3. Ответов: 3
      Последнее сообщение: 29.09.2009, 02:52
    4. HijackThis нашёл reset5.dll
      От ggoo в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.07.2008, 09:27
    5. Сайт utro.ru в течение нескольких часов распространял опасный троян
      От ALEX(XX) в разделе Новости интернет-пространства
      Ответов: 1
      Последнее сообщение: 26.07.2007, 10:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00285 seconds with 16 queries