При перезагрузке вылазит ADMDLL.dll не находит библиотек
касперский 5.0 видит но не может удалить, пишет что удалит после перезагрузки, но потом все повторяется
C:\WINDOWS\system32\ADMDLL.dll
При перезагрузке вылазит ADMDLL.dll не находит библиотек
касперский 5.0 видит но не может удалить, пишет что удалит после перезагрузки, но потом все повторяется
C:\WINDOWS\system32\ADMDLL.dll
Одного лога не хватает (см. правила). Но это не важно - зверь и так виден. Значит так: необходимо закрыть все программы, запустить AVZ и через меню "Файл/Выполнить скрипт" выполнить следующий скрипт:
После выполнения скрипта компьютер автоматом перезагрузится. После этого нужно прислать попавшие в карантин файлы согласно правилам и повторить логи - для контроля.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteRepair(9); QuarantineFile('C:\WINDOWS\system32\ADMDLL.dll',''); QuarantineFile('C:\WINDOWS\system32\system32.exe',''); QuarantineFile('tasklhmg.exe',''); DeleteFile('C:\WINDOWS\system32\system32.exe'); // Импорт списка удаленных файлов в настройки Boot Cleaner BC_ImportDeletedList; // Чистка ссылок на удаленные файлы ExecuteSysClean; // Активация драйвера Boot Cleaner BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Все сделал, но не помогло, при запуске касперский опять его нашел.
да. и хотелось-бы знать, что это за вирус?
прислал. но если хотите могу кинуть в форум
Файл пришел. На форум кидать нельзя!
C:\WINDOWS\system32\system32.exe - Program.RemoteAdmin
Файлы C:\WINDOWS\system32\ADMDLL.dll и tasklhmg.exe не пришли.
PS. Что говорит Касперский по поводу ADMDLL.dll?
Попробуйте прислать по Правилам файлы:
C:\WINDOWS\system32\ADMDLL.dll
tasklhmg.exe
отключив антивирус, на время поиска и их архивирования.
Последний раз редактировалось AndreyKa; 23.02.2007 в 13:47.
файл создался, но вирус не удалился.
'boot_clr.log' заархивировал и отправил ВАМ
Хорошо, усилим скрипт - попробуйте так:
файл system32.exe - это не вирус, а RAdmin - утилита удаленного администрирования. Для исследования обязательно нужен C:\WINDOWS\system32\ADMDLL.dll - его помещение в карантин может блокировать монитор AVP, его стоит отключить на время и попробовать вручную скопировать этот файл. Я думаю, это тоже компонента RAdmin. Еще пришлите файл C:\WINDOWS\ALCFDRTM.EXE согласно правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteRepair(9); QuarantineFile('C:\WINDOWS\system32\ADMDLL.dll',''); QuarantineFile('C:\WINDOWS\system32\system32.exe',''); QuarantineFile('tasklhmg.exe',''); DeleteFile('C:\WINDOWS\system32\system32.exe'); DeleteFile('C:\WINDOWS\system32\ADMDLL.dll'); // Импорт списка удаленных файлов в настройки Boot Cleaner BC_ImportDeletedList; // Чистка ссылок на удаленные файлы ExecuteSysClean; // Активация драйвера Boot Cleaner BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Зайцев Олег; 23.02.2007 в 14:09.
ADMDLL.dll не могу найти, ALCFDRTM.EXE - выслал, еще появился файл TEMP\game.exe
А касперыч говорит:"C:\windows/system32/admdll.dll является backdoorом backdoor.win32.ra-based.b1 . Рекомендуется его удалить", но не может.
Пробуем еще раз (на всякий случай - скрипт точно сработал и ПК перезагрузился ?!):
1. Отключаем AVP, отключаем восстановление системы (см. правила). После этого я рекомандую перезагрузиться
2. Запускает AVZ, выполняем скрипт AVZ:
3. Не выходя из AVZ нужно произвести поиск файла с именем tasklhmg.exe на диске C (Сервис/Поиск файла на диске). Если найдется - отметить его птичкой и нажать кнопки копирования в карантин и удаления.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteRepair(9); QuarantineFile('C:\WINDOWS\system32\ADMDLL.dll',''); QuarantineFile('tasklhmg.exe',''); DeleteFile('C:\WINDOWS\system32\system32.exe'); DeleteFile('C:\WINDOWS\system32\ADMDLL.dll'); DeleteFile('tasklhmg.exe'); // Импорт списка удаленных файлов в настройки Boot Cleaner BC_ImportDeletedList; // Чистка ссылок на удаленные файлы ExecuteSysClean; // Активация драйвера Boot Cleaner BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; end.
4. Аналогично шагу 3 проделать для ADMDLL.dll и system32.exe
5. Файл/Восстановление системы в avz - там отменить "Удалить отладчики системных процессов" и нажать выполнить
6. Перезагрузиться, если что-то попадет в карантин - прислать по правилам. Плюс описать результативность шагов 3-4
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\system32.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.21 (DrWEB: Program.RemoteAdmin)
Уважаемый(ая) frigor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.