выскакивают sysdrv32.sys, dllcache.exe

**Andrewha** · 11.08.2009, 12:50

при закгрузке винды выскакивает сообщение от аваста на sysdrv32.sys, через некоторое время вылезает сообщение на dllcache.exe, который садиться в авторан. убираю его оттуда и из реестра удаляю. через некоторое время вылазит снова. антивир что то находит и удаляет но не помогает. вырубается хост процесс. не печатается ничего по сетке.
еще выскакивает ругательство inject и на "35(разные цифры бывают).scr".

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 11.08.2009, 13:03

Пофиксить в HiJack

Код:

 O4 - HKLM\..\Run: [netmon] C:\WINDOWS\system\dllcache.exe

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
 TerminateProcessByName('c:\windows\system\dllcache.exe');
 QuarantineFile('c:\windows\system\dllcache.exe','');
 DeleteFile('c:\windows\system\dllcache.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**Andrewha** · 11.08.2009, 14:35

выслал архив карантина

**thyrex** · 11.08.2009, 14:43

Сообщение от Andrewha

Сделайте новые логи

Выполнено?

**Andrewha** · 12.08.2009, 10:21

выкладываю новые логи. после того как я пофиксил dllcache.exe он снова вылез.

**Rene-gad** · 12.08.2009, 12:22

Avast удалите на время лечения.

Пофиксить в HiJack

Код:

 O4 - HKLM\..\Run: [netmon] C:\WINDOWS\system\dllcache.exe

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system\dllcache.exe');
 DeleteFile('c:\windows\system\dllcache.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте лог GMER
Сделайте новые логи

**Andrewha** · 12.08.2009, 17:10

dllcache.exe нифига не фиксится, удалял его из реестра руками и фиксил hijack.

**thyrex** · 12.08.2009, 19:57

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del file "C:\WINDOWS\system32\drivers\sysdrv32.sys"
gmer.exe -del file "c:\windows\system\dllcache.exe"
gmer.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новые логи AVZ и HiJack

**Andrewha** · 13.08.2009, 10:22

выкладываю новые логи. dllcache.exe появляется с завидным постоянством.

**Rene-gad** · 13.08.2009, 12:49

Сохраните текст ниже как 123.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service sysdrv32
gmer.exe -del file "C:\WINDOWS\system32\drivers\sysdrv32.sys"
gmer.exe -del file "c:\windows\system\dllcache.exe"
gmer.exe -reboot

И запустите 123.bat

После перезагрузки:

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);`
 StopService('sysdrv32');
 DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
 DeleteService('sysdrv32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sysdrv32');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Сделайте лог GMER
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

**Andrewha** · 13.08.2009, 15:37

dllcache.exe все сидит, узнать бы где мамка сидит)))

**Rene-gad** · 13.08.2009, 19:17

Сообщение от Andrewha

dllcache.exe все сидит, узнать бы где мамка сидит)))

Да, хорошо бы

У Вас есть возможность, сделать скрипт и логи после скрипта в оффлайне, а закачать логи с другого ПК или через другую сисетму (напр. BartPE или Knoppix)?

Так можно попытаться установить: сидит зловред внутри или через какую-то дырку из сети залазит.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('sysdrv32');
 TerminateProcessByName('c:\windows\system\dllcache.exe');
 DeleteFile('c:\windows\system\dllcache.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
 DeleteService('sysdrv32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sysdrv32');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Сделайте лог GMER
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

**Andrewha** · 14.08.2009, 10:49

а это мои новые логи, почему то hijeck.log не приатачивается(( пришлось зазипить

**Rene-gad** · 14.08.2009, 13:58

Я вынес топик на консилиум - у меня идеи закончились...

**Andrewha** · 14.08.2009, 14:09

хорошо) будем посмотреть

**kps** · 14.08.2009, 15:42

Выполните полную проверку компьютера с помощью CureIt! (ссылка в правилах).

**anton_dr** · 14.08.2009, 19:03

Ещё лучше, если это будет LiveCD

**Andrewha** · 17.08.2009, 10:14

кароче все спасибо, но думаю тут поможет только переустановка ОС

**Rene-gad** · 17.08.2009, 14:50

Сообщение от Andrewha

думаю тут поможет только переустановка ОС

Это поможет в случае, если остался необнаруженный или неубитый руткит. Если у Вас где-то сидит файловая зараза, то она заразит точно так же и новую систему - самое позднее - при обращении к Вашим сохраненным данным. Так что я бы Вам посоветовал прислушаться к голосам коллег