-
Junior Member
- Вес репутации
- 51
Подозрение на srnh.lto
Здравствуйте!
Есть предположение на вирус. После того как схватил его, Nod32 сблокировал и удалил трояна (даже несколько: Oficla.GQ, JS/Expoloit.JavaDepKit.A, Java/TrojanDownloader.Agent.NAX). И при этом попытки запуска процессов(каких не помню-было поздно) были заблокированы фаерволом.
Но во время загрузки ОС выскакивает окошко с сообщением:
"Ошибка при загрузке srnh.lto
Не найден указанный модуль".
Посмотрите, что не так. Думаю, что решение где-то здесь:
"Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe rundll32.exe srnh.lto iqfnr" "
Возможно достаточно просто вручную в реестре значения лишние убрать будет и достаточно, но совет и мнения специалистов хотелось бы услышать.
Заранее большое спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Профиксить:
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
Добавлено через 5 минут
+ выполните скрипт:
Код:
begin
QuarantineFile('C:\Program Files\UpsPilot\Winpower.exe ','');
QuarantineFile('C:\Program Files\UpsPilot\jre\bin\javaw.exe ','');
QuarantineFile('C:\PROGRA~1\UpsPilot\wpRMI.exe ','');
QuarantineFile('C:\PROGRA~1\UpsPilot\monitor.exe ','');
QuarantineFile(' C:\PROGRA~1\UpsPilot\manager.exe ','');
QuarantineFile(' C:\FRAPS\FRAPS.EXE ','');
end.
Карантин загрузить по красной ссылке.
Последний раз редактировалось ARMA9000; 15.05.2010 в 00:54.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
Огромное спасибо, проблема решилась!
Выполнил все инструкции, но в карантине ничего нет.
Процедура прошла без ошибок, в AVZ вывелось:
Выполнен карантин файла C:\Program Files\UpsPilot\Winpower.exe
Выполнен карантин файла C:\Program Files\UpsPilot\jre\bin\javaw.exe
Выполнен карантин файла C:\PROGRA~1\UpsPilot\wpRMI.exe
Выполнен карантин файла C:\PROGRA~1\UpsPilot\monitor.exe
Ошибка карантина файла, попытка прямого чтения ( C:\PROGRA~1\UpsPilot\manager.exe )
Карантин с использованием прямого чтения - ошибка
Выполнен карантин файла C:\PROGRA~1\UpsPilot\manager.exe
Ошибка карантина файла, попытка прямого чтения ( C:\FRAPS\FRAPS.EXE )
Карантин с использованием прямого чтения - ошибка
Выполнен карантин файла C:\FRAPS\fraps.exe
Карантин пуст. Так может быть? Или что-то я не так сделал? Жду ваших советов. Делал все согласно инструкции Приложения 3.
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegSearch('HKLM', '', 'esp867C.tmp');
SaveLog(GetAVZDirectory + 'search.log');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp867C.tmp','');
BC_ImportAll;
ExecuteSysClean;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- файл search.log из папки AVZ прикрепите к сообщению
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
Файл карантина закачал:
Файл сохранён как 100515_151805_quarantine_4bee82ed19260.zip
Размер файла 618
MD5 b4d57a59b7ef52b7b78b4bc61ae823f7
Файл search.log прикрепил, как и просили.
Ну и повторные логи virusinfo_syscheck.zip; hijackthis.log имеются.
-
- Выполните скрипт в AVZ
Код:
begin
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\41F7FBD3');
RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Control\Print\Providers\41F7FBD3');
RegKeyDel('HKLM', 'SYSTEM\ControlSet005\Control\Print\Providers\41F7FBD3');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp867C.tmp');
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 51
Выполнил скрипт и после перезагрузки сделал лог virusinfo_syscheck.zip
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-