-
Junior Member
- Вес репутации
- 53
aekgoprn.dll
Добрый вечер!
Принесли лечиться ноутбук с целым зоопарком. Что смог сделал, а вот от этого товарища никак не могу избавиться.
Логи прикладываю.
Три драйвера в первом логе это остатки AVPTool'а.
Файл syschk32.exe удалён, просто таск в планировщике не почистил.
Эта зараза подгружается в некоторые экзешники (в частности, в проводник). Я и хочу понять, как она это делает. Поиск в реестре ничего не дал. Возникло подозрение, что виноват драйвер какой-то загадочный — файл в system32\drivers, у которого каждый раз новое имя, AVZ на него ругается, что приходится использовать прямое чтение. Причём нигде больше в логах этот драйвер не светится. Я ничего не понимаю
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
А, вот ещё что. Имеется файл system32\el32.dll, который тоже в логах никак не присутствует, однако, имеющаяся на борту авира на него ругается. AVPTool в стандартном режиме ничего не обнаружил, но, будучи натравлен на system32 тоже детектировал el32.dll как Trojan-Ransom.Win32.SMSer.tp.
И вот ещё какая идея. Если присмотреться внимательно, то у той злополучной aekgoprn.dll хэндл-то не простой, а 10000000, т.е. какой-то подозрительный. И появлений баннера больше не наблюдается. Это получается, я борюсь с ветряными мельницами? И как же теперь удалить эту пустую запись?
Последний раз редактировалось kirrun; 06.12.2009 в 23:26.
-
Отключите восстановление системы! См. Приложение 1 Правил.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
DeleteFile('D:\WINDOWS\tasks\SystemCheck.job');
Sleep(180);
RebootWindows(true);
end.
Компьютер перезагрузится через 3 мин.
Обновите базы AVZ.
Сделайте новый лог из пункта 1 Диагностики (virusinfo_syscure.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
Ноутбук уже, к сожалению, уехал (это всё очень срочно делалось). Надеюсь, через пару дней до него доберусь, скрипт и лог сделаю и тему эту подниму.
И да, этот скрипт же только подчищает настройки системы и таск в планировщике… а что же делать с dll'кой, которая, судя по хэндлу, больше не подгружается и загадочным драйвером, у которого имя меняется?
-
Раз dll есть в логе, значит загружается, хотя файла такого и нет. Драйвер этот - руткит и меняет своё имя постоянно. Есть вероятность, что скрипт не позволит ему загрузиться после перезагрузки.
Если не поможет, загрузитесь с любого CD и переместите его файл в другую папку.
-