Показано с 1 по 14 из 14.

Прошу помощи. Не могу удалить файл advapi32.$$$ из system32 (заявка № 7462)

  1. #1
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    22
    Вес репутации
    41

    Exclamation Прошу помощи. Не могу удалить файл advapi32.$$$ из system32

    При проверке AVZ пишет про подозрение на троянскую DLL или кейлоггер в 2 файлах: ntsock.dll и cpadvai.dll

    Началось все с запуска некоего файлика xe-xe.exe, который пришел по эл.почте. В результате запуска никакой видимой реакции не произошло, а файлик благополучно исчез. После этого стал подтормаживать инет, хотя при просмотре использования сети в диспетчере задач никакой активности вроде нет. В системном каталоге (System32) появился файл advapi32.$$$, который даже если удалить, при перезапуске вновь появляется. Еще было несколько файлов с Spy.Aureate, которые AVZ удалил при лечении.
    Вот вкратце и все.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Выполнить скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('\SystemRoot\System32\Drivers\dump_IdeChnDr.sys','');
     QuarantineFile('C:\WINDOWS\system32\ntsocks.dll','');
     QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
     QuarantineFile('\\server-zhb\netlogon\xauth.exe','');
     QuarantineFile('c:\program files\winamp\winampa.exe','');
     QuarantineFile('c:\windows\system32\ntsock.exe','');
     QuarantineFile('C:\install\FAR v1.65\PlugIns\pktv04b.rar/{RAR}/pkt.dll',''); 
    RebootWindows(true);
    end.
    Kомпьютер перегрузиться , после этого Полученный "карантинный" файл (будет в папке , где находиться сама программа AVZ ) прислать как написано в правилах .
    Зайдите в AVZ - AVZPm и установите драйвер .Перегрузитесь . Желательно показать логи от авз , когда драйвер установлен .

    wmplayer.exe - Поищите и пришлите , у меня в подписи написано как .

    P.s. можете прислать копию advapi32.$$$ , хотя не думаю что он вредный .

    P.P.S zhb.local - это что, известно ???
    192.168.90.5,80.92.10.253,80.92.10.252- Ваш провайдер ?
    Последний раз редактировалось drongo; 12.01.2007 в 14:39.

  4. #3
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    22
    Вес репутации
    41
    Цитата Сообщение от drongo Посмотреть сообщение
    Выполнить скрипт в AVZ
    Kомпьютер перегрузиться , после этого Полученный "карантинный" файл (будет в папке , где находиться сама программа AVZ ) прислать как написано в правилах .
    Файл выслал.
    Цитата Сообщение от drongo Посмотреть сообщение

    P.P.S zhb.local - это что, известно ???
    192.168.90.5,80.92.10.253,80.92.10.252- Ваш провайдер ?
    192.168.90.5 сервер домена zhb.local
    80.92.10.253,80.92.10.252 - сервера провайдера

  5. #4
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    22
    Вес репутации
    41
    Цитата Сообщение от drongo Посмотреть сообщение
    P.s. можете прислать копию advapi32.$$$ , хотя не думаю что он вредный .
    Этот файл тоже отправил.
    Цитата Сообщение от drongo Посмотреть сообщение
    wmplayer.exe - Поищите и пришлите , у меня в подписи написано как .
    А вот этот не могу добавить в карантин. Поиск выдает 4 файла:
    C:\Program Files\Windows Media Player\wmplayer.exe
    C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}\wmplayer.exe
    C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
    C:\WINDOWS\system32\dllcache\wmplayer.exe
    Нажимаю кнопку копировать найденные файлы в карантин - никакого результата.
    Добавление в карантин по списку тоже результатов не дает. Пишет:
    Процесс добавления файлов запущен
    Процесс добавления файлов завершен
    И все.
    При просмотре карантина файлов этих там нет.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1639
    пока так:
    C:\WINDOWS\system32\ntsocks.dll - Trojan.PWS.Lineage (DrWeb)
    вероятно есть ещё что то...

    ps. точно есть... ждём...
    Последний раз редактировалось Shu_b; 12.01.2007 в 16:19.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    А если так попробовать :
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      QuarantineFile('C:\Program Files\Windows Media Player\wmplayer.exe','');
      QuarantineFile('C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}\wmplayer.exe','');
      QuarantineFile('C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe','');
      QuarantineFile('C:\WINDOWS\system32\dllcache\wmplayer.exe','');
     RebootWindows(true);
    end.
    Есть просто подозрение , что это член этого семейства
    Последний раз редактировалось drongo; 12.01.2007 в 16:48.

  8. #7
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    22
    Вес репутации
    41

    И так не получается.

    Пробовал и в защищенном режиме запускать AVZ и выполнить этот скрипт - результат тот же - нулевой. В карантине эти файлы не появляются.

    Новые логи сделаю и вышлю завтра.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    advapi32.$$$ - это происки Крипто-Про.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1639
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ntsocks.dll','');
     QuarantineFile('c:\windows\system32\ntsock.exe','');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    C:\WINDOWS\system32\ntsocks.dll - Trojan.PWS.Gamania
    c:\windows\system32\ntsock.exe - Trojan.PWS.Lineage

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Пофиксить :


    Код:
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcD98ptiQjWyuqy0JwyjFV9YwDj6RB+7kHucFIqTXdM8BusUsdtON3ALmvXfRbkkPu3QTKJBdmsH+lD5qOE5UT7oUbdkU1MkrdLt1MZxBsHr+SVYArkuk5ByFAdbViCQkqdDh3pEU/FONf2nLYb3AXNUA==
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
    O3 - Toolbar: WebAlta Toolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Program Files\WebAlta\Toolbar\WebaltaToolbar.dll (file missing)
    для удаления ,нужно в авз выполнить вот этот скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('c:\windows\system32\ntsock.exe');
     DeleteFile('C:\WINDOWS\system32\ntsocks.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.

    P.S. надо у Олега спросить , почему не хочет копироваться
    Последний раз редактировалось drongo; 12.01.2007 в 20:35.

  12. #11
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    22
    Вес репутации
    41

    Все выполнил.

    Вот новые логи, которые сделал после удаления ntsock'ов. Но wmplayer.exe все равно не могу скопировать в карантин. Хоть и пишет в протоколе, что:
    Файл C:\Program Files\Windows Media Player\wmplayer.exe скопирован в карантин
    Файл C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}\wmplayer.exe скопирован в карантин
    Файл C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe скопирован в карантин
    Файл C:\WINDOWS\system32\dllcache\wmplayer.exe скопирован в карантин
    Тем не менее файлы эти в просмотре карантина не появляются.
    Вложения Вложения

  13. #12
    Junior Member Репутация
    Регистрация
    04.12.2006
    Сообщений
    22
    Вес репутации
    41
    Цитата Сообщение от pig Посмотреть сообщение
    advapi32.$$$ - это происки Крипто-Про.
    Так значит этот файл никакого отношения к заражению не имеет? Я правильно понял?
    Просто навело на сомнение его дата - время и день последней загрузки (т.е. текущей).

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Да, это штатный хакерский метод работы Крипто-Про. Что-то он там в advapi32.dll патчит по своему разумению.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\ntsock.exe - Trojan-GameThief.Win32.Ganhame.dm (DrWEB: Trojan.PWS.Lineage)
      2. c:\\windows\\system32\\ntsocks.dll - Trojan-GameThief.Win32.Ganhame.eb (DrWEB: Trojan.PWS.Gamania)


  • Уважаемый(ая) MAEstro, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 17.06.2012, 11:01
    2. Ответов: 2
      Последнее сообщение: 27.11.2011, 18:59
    3. Ответов: 5
      Последнее сообщение: 29.11.2009, 01:34
    4. Hе могу удалить файл advapi32.$$$ из system32
      От starfolk в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 09:36
    5. не могу удалить файл advapi32.$$$ из system32
      От starfolk в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 24.12.2008, 14:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01231 seconds with 17 queries