Junior Member
Вес репутации
63
Непонятные процессы и перемещения таблиц
Прикладываю логи в соответствии с правилами.
Очень беспокоит наличие каких-то процессов, смысла которых я не понимаю.
Единственно, хоть в правилах и было написано закрыть и выгрузить антивирусы, ни кав, ни зонеаларм мне выгрузить не удалось, они так и остались в памяти после закрытия.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнить скрипт.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\system102\system102.dll','');
QuarantineFile('C:\WINDOWS\system32\jsbkxnyw.dll','');
QuarantineFile('C:\WINDOWS\system32\jyrdbonq.dll','');
QuarantineFile('C:\WINDOWS\system32\ABITGfx.dll','');
QuarantineFile('C:\Downloads 2\ornoex73.zip/Keygen.exe','');
QuarantineFile('C:\WINDOWS\system32\sdhlitca.dll','');
QuarantineFile('C:\WINDOWS\system32\rhautxvs.dll','');
QuarantineFile('C:\WINDOWS\system32\lbfxisjg.dll','');
QuarantineFile('C:\WINDOWS\system32\oiyxomfn.dll','');
RebootWindows(false);
end.
Прислать карантин согласно приложения 3 правил .
Junior Member
Вес репутации
63
По Касперскому
not-a-virus:AdWare.Win32.Virtumonde.gf Файл: C:\WINDOWS\system32\oiyxomfn.dll
not-a-virus:AdWare.Win32.Virtumonde.gf Файл: C:\WINDOWS\system32\lbfxisjg.dll
not-a-virus:AdWare.Win32.Virtumonde.gf Файл: C:\WINDOWS\system32\rhautxvs.dll
Trojan-Spy.Win32.VBStat.h Файл: C:\WINDOWS\system32\sdhlitca.dll
Trojan.Win32.BHO.g Файл: C:\WINDOWS\system32\jsbkxnyw.dll
Trojan.Win32.BHO.g Файл: C:\WINDOWS\system32\jyrdbonq.dll
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile(C:\WINDOWS\system32\jyrdbonq.dll );
DeleteFile(C:\WINDOWS\system32\jsbkxnyw.dll );
DeleteFile('C:\WINDOWS\system32\sdhlitca.dll' );
DeleteFile('C:\WINDOWS\system32\rhautxvs.dll' );
DeleteFile('C:\WINDOWS\system32\lbfxisjg.dll' );
DeleteFile('C:\WINDOWS\system32\oiyxomfn.dll' );
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Почистить файл Host ( AVZ --> Сервис --> Менеджер файла Host )
Повторите логи начиная с пункта 10 Правил и добавьте к ним файл boot_clr.log из папки AVZ.
Последний раз редактировалось Кто?; 05.03.2007 в 09:29 .
Junior Member
Вес репутации
63
Выслал.
Только boot_clr.logпришлось зазиповать, а то он не загружался.
Сообщение от
Кто?
Повторите логи начиная с пункта 10 Правил и добавьте к ним файл boot_clr.log из папки AVZ.
Вложите их в тему (эту). Вы отправили только boot_clr.log ?
Junior Member
Вес репутации
63
Вот недостающие вчерашние файлы.
Я их просто не приаттачил к сообщению, а выслал как карантин.
Вложения
Пришлите ещё файлы:
Код:
begin
QuarantineFile('C:\WINDOWS\system32\LiveVision\aChat\LCClient.ocx','');
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\jsbkxnyw.dll','');
QuarantineFile('C:\WINDOWS\system32\jyrdbonq.dll','');
QuarantineFile('C:\Program Files\system102\system102.dll','');
ClearHostsFile;
end.
Пофиксите:
O20 - Winlogon Notify: nnnljhi - C:\WINDOWS\
O20 - Winlogon Notify: ssqpn - C:\WINDOWS\
Junior Member
Вес репутации
63
Пофиксил.
Карантин выслал.
Называется quarantin-2007-03-07.zip
В карантине только один LCClient.ocx (безвреден).
Выйдите из сети, отключите антивирус, попробуйте ещё раз скриптом. Если не выйдет, то поищите запрошенные вручную (со включеным AVZGuard) через AVZ -> файл -> добавление в карантин по списку.
Junior Member
Вес репутации
63
Указанных файлов (именно с тими именами) на моем компьютере нет ни в каких папках:
- jsbkxnyw.dll
- jyrdbonq.dll
- system102.dll
Думаю, они не попали в карантин именно по этой причине.
Я зашел на компьютер под другой ОС (у меня их две) и произвел их поиск по именам.
В папке C:\Program Files\system102\ лежат два файла:
- PubWhiteList.pwl
- system102.ini
Сообщение от
mikhailk
В папке C:\Program Files\system102\ лежат два файла:
- PubWhiteList.pwl
- system102.ini
Заархивируйте и пришлите с паролем virus по ссылке наверху .
А ещё вот это :
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{41EC384A-B8F9-4EE4-A8EB-166C81984219}: NameServer = 192.168.248.21,195.177.123.1,84.52.107.107,195.34.32.116
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 194.67.57.104
Сами прописывали? Если нет, то фиксить.
Junior Member
Вес репутации
63
Файлы отправил, О17 пофиксил.
Кроме того, поставил КАВ 6.0.2.614, обновил для него базы и просканировал компьютер. Касперский кое-что поудалял, но ситуация не исправилась.
AVZ по прежнему видит три этих файла
C:\Program Files\system102\system102.dll
C:\WINDOWS\system32\jyrdbonq.dll
C:\WINDOWS\system32\jsbkxnyw.dll
в памяти в разделе "Модули расширения Internet Explorer (BHO, панели ...)".
Junior Member
Вес репутации
63
Все в порядке.
Вроде бы.
Я отключил автозапуск этих файлов через менеджера автозапуска расширений IE в AVZ и больше они не диагностируются.
Единственно, почему-то после этого отключения (и перезагрузки компьютера) обнулился адрес DNS-сервера в настройках протокола TCP/IP, пришлось его заново ручками прописать.
Так вас спрашивали, сами прописывали или нет
(речь про O17 - это они и есть)
Сделайте новые логи. Для очистки совести.
Последний раз редактировалось pig; 07.03.2007 в 21:22 .
Junior Member
Вес репутации
63
Понял.
Да, верхнюю О17 сам прописывал.
Вторую, с адресом DNS-сервера 194.67.57.104 мне прописал некоторое время назад какой-то вирь.
С чего, собственно, я и озаботился проверкой компьютера.
После логов будет видно.
Никакого зверя болше не видно (мне).
Junior Member
Вес репутации
63
Еще вопрос напоследок
В разделе Модули пространства ядра висит процесс
\??\C:\WINDOWS\system32\drivers\Haspnt.sys
Как я понимаю, он у меня остался с тех пор, как год назад на компьютере была поставлена, а потом снесена 1С7. Как мне его корректно удалить?
Какого-то конкретного места, где его можно отключить/пофиксить, я не нашел.
Вложения
Диспетчер устройств - Вид - Показать скрытые устройства
HASPNT обнаруживается среди кучи не-Plug&Play-драйверов. Ставите ему тип запуска в Отключено и забываете навсегда.
В логах ничего криминального не увидел.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 4 Обработано файлов: 11 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\jsbkxnyw.dll - Trojan.Win32.BHO.g (DrWEB: Trojan.Juan) c:\\windows\\system32\\jyrdbonq.dll - Trojan.Win32.BHO.g (DrWEB: Trojan.Virtumod) c:\\windows\\system32\\lbfxisjg.dll - not-a-virus:AdWare.Win32.Virtumonde.gf (DrWEB: Trojan.Virtumod) c:\\windows\\system32\\oiyxomfn.dll - not-a-virus:AdWare.Win32.Virtumonde.gf (DrWEB: Trojan.Virtumod) c:\\windows\\system32\\rhautxvs.dll - not-a-virus:AdWare.Win32.Virtumonde.gf (DrWEB: Trojan.Virtumod) c:\\windows\\system32\\sdhlitca.dll - Trojan-Spy.Win32.VBStat.h (DrWEB: Trojan.Virtumod)