Пропал рабочий стол. При попытке запуска процесса появляется сообщение о non-win32 программе.
Т.е. все симптомы совпадают. Вот только "удаление отладчиков системных процессов" не помогает. Возможно, что-то недочистил. Подскажите, пожалуйста, что.
Пропал рабочий стол. При попытке запуска процесса появляется сообщение о non-win32 программе.
Т.е. все симптомы совпадают. Вот только "удаление отладчиков системных процессов" не помогает. Возможно, что-то недочистил. Подскажите, пожалуйста, что.
Да, зверь в логах заметен ... выпоните скрипт AVZ (Файл/выполнить скрипт):
В принципе зловред видимо в первых двух файлах, а остальные - для проверки и помещения в базу чистых.Код:begin QuarantineFile('D:\WINNT\System32\rpcc.dll',''); QuarantineFile('2xk55ph9d8oi.dll',''); QuarantineFile('D:\WINNT\System32\\NavLogon.dll',''); QuarantineFile('D:\WINNT\NCLAUNCH.EXe',''); QuarantineFile('D:\Documents and Settings\Andrey\Start Menu\Programs\Startup\Karpov.js',''); QuarantineFile('2xk55ph9d8oi.dll',''); QuarantineFile('D:\WINNT\System32\mgabg.exe',''); QuarantineFile('D:\Program Files\SAV\DefWatch.exe',''); QuarantineFile('D:\WINNT\System32\cba\pds.exe',''); QuarantineFile('d:\winnt\system32\mgabg.exe',''); end.
Файл сохранён как 070112_081532_virus_45a7980463137.zip
Размер файла 111971
MD5 d87f9433b83630e6a8ba8655aa0f9812
Последний раз редактировалось Rust; 12.01.2007 в 17:16.
D:\WINNT\System32\rpcc.dll - Trojan.Spambot
пофиксить ( http://virusinfo.info/showthread.php?t=4491 )Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\WINNT\System32\rpcc.dll'); DeleteFile('2xk55ph9d8oi.dll'); ExecuteSysClean; RebootWindows(true); end.Код:O16 - DPF: {11311111-1111-1111-1111-111111111157} - O20 - AppInit_DLLs: 2xk55ph9d8oi.dll O20 - Winlogon Notify: rpcc - D:\WINNT\System32\rpcc.dll
Файл WINNT\System32\rpcc.dll - это искомый зловред, свежайший - из антивирусов по данным VirusTotal его никто толком не детектирует. Этот файл необходимо удалить отложенным удалением AVZ и перезагрузиться.
Удобнее всего это сделать по алгоритму, который предлоложил Shu_b в посте #4
Подчистил rpcc. По прежнему, не удаётся восстановить explorer...
Свежие логи.
А не спасёт ли отца русской демократии установка SP4 и Rollup1? SP3 нынче уже и неприлично вовсе. Всё равно что нагишом.
Я смотрю, Internet Explorer у вас запускается. Что будет, если натравить его на локальный диск?
Последний раз редактировалось anton_dr; 13.01.2007 в 09:16. Причина: добавил "ли" по смыслу :)
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- d:\\winnt\\system32\\rpcc.dll - Trojan-Proxy.Win32.Dlena.au (DrWEB: Trojan.Spambot)
Уважаемый(ая) Rust, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.