Непонятные процессы и перемещения таблиц

**mikhailk** · 04.03.2007, 12:14

Прикладываю логи в соответствии с правилами.
Очень беспокоит наличие каких-то процессов, смысла которых я не понимаю.

Единственно, хоть в правилах и было написано закрыть и выгрузить антивирусы, ни кав, ни зонеаларм мне выгрузить не удалось, они так и остались в памяти после закрытия.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Кто?** · 04.03.2007, 12:49

Выполнить скрипт.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\system102\system102.dll','');
 QuarantineFile('C:\WINDOWS\system32\jsbkxnyw.dll','');
 QuarantineFile('C:\WINDOWS\system32\jyrdbonq.dll','');
 QuarantineFile('C:\WINDOWS\system32\ABITGfx.dll','');
QuarantineFile('C:\Downloads 2\ornoex73.zip/Keygen.exe','');
QuarantineFile('C:\WINDOWS\system32\sdhlitca.dll','');
QuarantineFile('C:\WINDOWS\system32\rhautxvs.dll','');
QuarantineFile('C:\WINDOWS\system32\lbfxisjg.dll','');
QuarantineFile('C:\WINDOWS\system32\oiyxomfn.dll','');
RebootWindows(false);
end.

Прислать карантин согласно приложения 3 правил.

**mikhailk** · 04.03.2007, 13:06

Выслал

**Кто?** · 05.03.2007, 08:31

По Касперскому
not-a-virus:AdWare.Win32.Virtumonde.gf Файл: C:\WINDOWS\system32\oiyxomfn.dll
not-a-virus:AdWare.Win32.Virtumonde.gf Файл: C:\WINDOWS\system32\lbfxisjg.dll
not-a-virus:AdWare.Win32.Virtumonde.gf Файл: C:\WINDOWS\system32\rhautxvs.dll
Trojan-Spy.Win32.VBStat.h Файл: C:\WINDOWS\system32\sdhlitca.dll
Trojan.Win32.BHO.g Файл: C:\WINDOWS\system32\jsbkxnyw.dll
Trojan.Win32.BHO.g Файл: C:\WINDOWS\system32\jyrdbonq.dll
Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile(C:\WINDOWS\system32\jyrdbonq.dll );
DeleteFile(C:\WINDOWS\system32\jsbkxnyw.dll );
DeleteFile('C:\WINDOWS\system32\sdhlitca.dll' );
DeleteFile('C:\WINDOWS\system32\rhautxvs.dll' );
DeleteFile('C:\WINDOWS\system32\lbfxisjg.dll' );
DeleteFile('C:\WINDOWS\system32\oiyxomfn.dll' );
BC_ImportDeletedList; 
 ExecuteSysClean;  
 BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
 BC_Activate;
RebootWindows(true);
end.

Почистить файл Host ( AVZ --> Сервис --> Менеджер файла Host )

Повторите логи начиная с пункта 10 Правил и добавьте к ним файл boot_clr.log из папки AVZ.

**mikhailk** · 05.03.2007, 23:37

Выслал.
Только boot_clr.logпришлось зазиповать, а то он не загружался.

**Кто?** · 06.03.2007, 04:44

Сообщение от Кто?

Повторите логи начиная с пункта 10 Правил и добавьте к ним файл boot_clr.log из папки AVZ.

Вложите их в тему (эту). Вы отправили только boot_clr.log ?

**mikhailk** · 06.03.2007, 22:49

Вот недостающие вчерашние файлы.
Я их просто не приаттачил к сообщению, а выслал как карантин.

**Кто?** · 07.03.2007, 04:40

Пришлите ещё файлы:

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\LiveVision\aChat\LCClient.ocx','');
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\jsbkxnyw.dll','');
 QuarantineFile('C:\WINDOWS\system32\jyrdbonq.dll','');
 QuarantineFile('C:\Program Files\system102\system102.dll','');
ClearHostsFile;
end.

Пофиксите:
O20 - Winlogon Notify: nnnljhi - C:\WINDOWS\
O20 - Winlogon Notify: ssqpn - C:\WINDOWS\

**mikhailk** · 07.03.2007, 10:58

Пофиксил.
Карантин выслал.
Называется quarantin-2007-03-07.zip

**Кто?** · 07.03.2007, 12:49

В карантине только один LCClient.ocx (безвреден).
Выйдите из сети, отключите антивирус, попробуйте ещё раз скриптом. Если не выйдет, то поищите запрошенные вручную (со включеным AVZGuard) через AVZ -> файл -> добавление в карантин по списку.

**mikhailk** · 07.03.2007, 14:29

Указанных файлов (именно с тими именами) на моем компьютере нет ни в каких папках:
- jsbkxnyw.dll
- jyrdbonq.dll
- system102.dll

Думаю, они не попали в карантин именно по этой причине.

Я зашел на компьютер под другой ОС (у меня их две) и произвел их поиск по именам.

В папке C:\Program Files\system102\ лежат два файла:
- PubWhiteList.pwl
- system102.ini

**Кто?** · 07.03.2007, 16:30

Сообщение от mikhailk

В папке C:\Program Files\system102\ лежат два файла:
- PubWhiteList.pwl
- system102.ini

Заархивируйте и пришлите с паролем virus по ссылке наверху.
А ещё вот это :

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{41EC384A-B8F9-4EE4-A8EB-166C81984219}: NameServer = 192.168.248.21,195.177.123.1,84.52.107.107,195.34.32.116
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 194.67.57.104

Сами прописывали? Если нет, то фиксить.

**mikhailk** · 07.03.2007, 17:30

Файлы отправил, О17 пофиксил.

Кроме того, поставил КАВ 6.0.2.614, обновил для него базы и просканировал компьютер. Касперский кое-что поудалял, но ситуация не исправилась.

AVZ по прежнему видит три этих файла

C:\Program Files\system102\system102.dll
C:\WINDOWS\system32\jyrdbonq.dll
C:\WINDOWS\system32\jsbkxnyw.dll

в памяти в разделе "Модули расширения Internet Explorer (BHO, панели ...)".

**mikhailk** · 07.03.2007, 17:56

Все в порядке.
Вроде бы.

Я отключил автозапуск этих файлов через менеджера автозапуска расширений IE в AVZ и больше они не диагностируются.

Единственно, почему-то после этого отключения (и перезагрузки компьютера) обнулился адрес DNS-сервера в настройках протокола TCP/IP, пришлось его заново ручками прописать.

**pig** · 07.03.2007, 21:16

Так вас спрашивали, сами прописывали или нет

(речь про O17 - это они и есть)

Сделайте новые логи. Для очистки совести.

**mikhailk** · 08.03.2007, 10:36

Понял.

Да, верхнюю О17 сам прописывал.
Вторую, с адресом DNS-сервера 194.67.57.104 мне прописал некоторое время назад какой-то вирь.

С чего, собственно, я и озаботился проверкой компьютера.

**Кто?** · 08.03.2007, 10:52

После логов будет видно.
Никакого зверя болше не видно (мне).

**mikhailk** · 08.03.2007, 11:22

Еще вопрос напоследок

В разделе Модули пространства ядра висит процесс

\??\C:\WINDOWS\system32\drivers\Haspnt.sys

Как я понимаю, он у меня остался с тех пор, как год назад на компьютере была поставлена, а потом снесена 1С7. Как мне его корректно удалить?

Какого-то конкретного места, где его можно отключить/пофиксить, я не нашел.

**pig** · 09.03.2007, 00:49

Диспетчер устройств - Вид - Показать скрытые устройства
HASPNT обнаруживается среди кучи не-Plug&Play-драйверов. Ставите ему тип запуска в Отключено и забываете навсегда.

В логах ничего криминального не увидел.

**CyberHelper** · 22.02.2009, 01:39

Статистика проведенного лечения:

Получено карантинов: 4
Обработано файлов: 11
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\jsbkxnyw.dll - Trojan.Win32.BHO.g (DrWEB: Trojan.Juan)
2. c:\\windows\\system32\\jyrdbonq.dll - Trojan.Win32.BHO.g (DrWEB: Trojan.Virtumod)
3. c:\\windows\\system32\\lbfxisjg.dll - not-a-virus:AdWare.Win32.Virtumonde.gf (DrWEB: Trojan.Virtumod)
4. c:\\windows\\system32\\oiyxomfn.dll - not-a-virus:AdWare.Win32.Virtumonde.gf (DrWEB: Trojan.Virtumod)
5. c:\\windows\\system32\\rhautxvs.dll - not-a-virus:AdWare.Win32.Virtumonde.gf (DrWEB: Trojan.Virtumod)
6. c:\\windows\\system32\\sdhlitca.dll - Trojan-Spy.Win32.VBStat.h (DrWEB: Trojan.Virtumod)

Непонятные процессы и перемещения таблиц (заявка № 8254)

Опции темы

Непонятные процессы и перемещения таблиц

Итог лечения

Похожие темы

Непонятные процессы

Непонятные процессы

Непонятные процессы

Непонятные процессы и dll

Непонятные процессы

Ваши права в разделе