winlib.dll и Ко

**MyIsteriya** · 01.10.2009, 21:43

Доброго времени суток.
Несколько дней боролась с winlib-ом

В процессе выполнения пунктов Правил, прилагаемых к этой ветке, обнаружилось еще куча всего нелицеприятного

Нет слов, кроме "помогите", в общем..

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Белый Сокол** · 01.10.2009, 21:56

Мммм, а логи по правилам где?

**MyIsteriya** · 02.10.2009, 00:20

Алилуя, прикрепились =) Прошу прощения, что не сразу, уже глаза в районе затылка...

Добавлено через 1 час 51 минуту

Карантин ушел.

Файл сохранён как 091002_001232_virusinfo_cure_4ac50d30b4ea4.zip
Размер файла 86179
MD5 4ade818f0125e8f1a5c91294591f2c62

**thyrex** · 02.10.2009, 00:57

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Antispyware\Antispyware.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Wch47.sys','');
 DeleteService('Wch47');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Sna62.sys','');
 DeleteService('Sna62');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Nrr47.sys','');
 DeleteService('Nrr47');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Lyf78.sys','');
 DeleteService('Lyf78');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Lbh12.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Kpm56.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Kor77.sys','');
 DeleteService('Lbh12');
 DeleteService('Kpm56');
 DeleteService('Kor77');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Fag87.sys','');
 DeleteService('Fag87');
 QuarantineFile('C:\WINDOWS\system32\dll.sys','');
 DeleteService('dedede');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Bfh07.sys','');
 DeleteService('Bfh07');
 DeleteService('windswe');
 TerminateProcessByName('c:\windows\schelp.exe');
 QuarantineFile('c:\windows\schelp.exe','');
 DeleteFile('c:\windows\schelp.exe');
 DeleteFile('C:\WINDOWS\system32\windswe.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Bfh07.sys');
 DeleteFile('C:\WINDOWS\system32\dll.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Fag87.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Kor77.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Kpm56.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Lbh12.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Lyf78.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Nrr47.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Sna62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wch47.sys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lvhost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**MyIsteriya** · 02.10.2009, 02:10

Сделано

**thyrex** · 02.10.2009, 07:56

Выполните скрипт в AVZ

Код:

begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\winlib0.dll','');
end.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

**MyIsteriya** · 02.10.2009, 08:07

Готово

Файл сохранён как 091002_080643_virus_4ac57c5302565.zip
Размер файла 88040
MD5 423a824994419f2a8d8c706a34b3f5d1

**thyrex** · 02.10.2009, 08:11

C:\WINDOWS\system32\winlib0.dll пришлите согласно Приложения 2 правил

**MyIsteriya** · 02.10.2009, 08:45

При помощи AVZ архивировать не получается (не вижу потом архива), делаю вручную. Результат этой попытки:
! D:\Install\virus\avz4\Quarantine\2009-10-02\virus.zip: Невозможно открыть avz00003.dta
! Отказано в доступе.

Добавлено через 14 минут

thyrex, Этот файл не "скрытый" и не "только для чтения", галок нет, по крайней мере
И еще, если над ним (или его компашкой) проводить какие-либо манипуляции, то тут же лезет "обновление", SpIDer ругается. Если удалить/запретить/переместить/переименовать, и заглянуть по старому адресу размещения файла, то можно увидеть его на том же месте

**thyrex** · 02.10.2009, 11:43

Скопируйте файл в другое место, заархивируйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

**MyIsteriya** · 02.10.2009, 12:38

Ошибка при копировании файла или папки
Не удается скопировать avz00003. Нет доступа.
Диск может быть переполнен или защищен от записи, либо файл занят другим приложением (с)

Что удалять?

**thyrex** · 02.10.2009, 13:45

Я просил это проделать с файлом C:\WINDOWS\system32\winlib0.dll

**MyIsteriya** · 02.10.2009, 14:02

Cогласно Приложения 2 правил отправила, а в C:\WINDOWS\system32 пока тихо

Уже Спасибо))

Добавлено через 3 минуты

И поиск не дал результатов

thyrex, я Вас люблю))

**thyrex** · 02.10.2009, 14:56

Выполните скрипт в AVZ

Код:

begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\winlib0.dll');
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки сделать новый лог virusinfo_syscheck.zip

**MyIsteriya** · 02.10.2009, 15:15

Есть.

**thyrex** · 02.10.2009, 16:19

Чисто

**MyIsteriya** · 02.10.2009, 16:29

Спасибо вам большое))

**CyberHelper** · 03.10.2009, 16:29

Статистика проведенного лечения:

Получено карантинов: 6
Обработано файлов: 89
В ходе лечения обнаружены вредоносные программы:
1. \avz00003.dta - not-a-virus:AdWare.Win32.Cinmus.bcxn ( DrWEB: Trojan.DownLoad.49306, BitDefender: Generic.Adw.Cinmus.4.C8A1AFE5, AVAST4: Win32:Cinmus-BF [Trj] )

winlib.dll и Ко (заявка № 56133)

Опции темы

winlib.dll и Ко

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Итог лечения

Ваши права в разделе