Показано с 1 по 9 из 9.

необходимо уничтожить трояновскую библиотеку (заявка № 86072)

  1. #1
    Junior Member Репутация
    Регистрация
    22.08.2010
    Сообщений
    5
    Вес репутации
    28

    Exclamation необходимо уничтожить трояновскую библиотеку

    Здравствуйте! Помогите, пожалуйста, добить вирусы окончательно. Второй день гоняю, с переменным, но всё-таки успехом. Сканировала своим анивирусом avast , утилитами - доктор. веб и AVZ.

    При последнем сканировании сегодня в безопасном режиме аваст и доктор веб ничего больше не обнаружили, а вот AVZ показала:

    1. Маскировка процесса с PID=1192, имя = "7c75b_xp.exe", полное имя = "\Device\HarddiskVolume1\Documents and Settings\User\Local Settings\Temp\F1FE7AE3-3DE51747-90403EED-AA13DFE4\7c75b_xp.exe"
    >> обнаружена подмена PID (текущий PID=1631808845, реальный = 1192)
    >> обнаружена подмена имени, новое имя = ""

    2. При эвристической проверке есть подозрение на скрытую библиотеку ApplNit DLLS. AppCertDlls.
    Полагаю, что из неё всё и лезет. Т.к. вчера маскировка была у других процессов - чистила папку вручную.

    3.Поиск потенциальных уязвимостей:
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Настройки, закрывающие доступ, включены, но не срабатывают. Возможно, что из-за первых двух проблем? Помогите разобраться. Логи по правилам сделала, прилагаю к сообщению.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    Ничего из того, о чем Вы ведете речь, в логах не замечено
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    22.08.2010
    Сообщений
    5
    Вес репутации
    28
    thyrex
    Это показывает только безопасный режим!

    Добавлено через 12 минут

    И даже в обычном режиме.
    Только сейчас прошлась по адресу: C:\Documents and Settings\User\Local Settings\Temp - 4 левых новых папки внутри, которые никто не создавал!
    Последний раз редактировалось irbi; 23.08.2010 в 00:32. Причина: Добавлено

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys','');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RebootWindows(true);
    end.
    После перезагрузки:
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте лог MBAM

  6. #5
    Junior Member Репутация
    Регистрация
    22.08.2010
    Сообщений
    5
    Вес репутации
    28

    необходимо уничтожить трояновскую библиотеку

    Только что отсканировалась, прилагаю лог MBAM. Нашёл 3 . Сканер пока не закрывала, рекомендует удалить.

    А карантин пишет ошибку, что такой файл уже был загружен. Хотя я до того ничего не грузила.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - удалите в MBAM
    Код:
    Зараженные файлы:
    C:\WINDOWS\system32\config\systemprofile\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    C:\Documents and Settings\User\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
    - найдите файл C:\WINDOWS\system32\DRIVERS\cdrom.sys и пришлите его запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

  8. #7
    Junior Member Репутация
    Регистрация
    22.08.2010
    Сообщений
    5
    Вес репутации
    28

    http://virusinfo.info/showthread.php?p=692926#post692926

    Удалила в MBAM. Отчёт прилагаю.
    Указанного драйвера в системной папке нет, видимо в MBAM он удалился вместе с вирусами. И CDRom, как оказалось, теперь тоже не работает.

  9. #8
    Junior Member Репутация
    Регистрация
    22.08.2010
    Сообщений
    5
    Вес репутации
    28
    Снова сканировалась в AVZ в обычном режиме. Снос МВАМом драйвера CD-Roma ничего не решил, только осталась без сидирома. А проблемы по-прежнему на месте, кроме маскировки процессов. Но в обычном режиме их AVZ их и не показывала, только в безопасном.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Восстановите файл C:\WINDOWS\system32\DRIVERS\cdrom.sys из дистрибутива.

    почистите мусор в системе

  • Уважаемый(ая) irbi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проект по переводу Amarok 1.4 на библиотеку Qt 4
      От Kuzz в разделе Новости программного обеспечения
      Ответов: 1
      Последнее сообщение: 02.03.2010, 18:05
    2. Необходимо уничтожить Trojan.Siggen иTrojan,MulDrop
      От Tanach в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.01.2010, 12:02
    3. SAV 8.х-10.х удаляет библиотеку службы терминалов
      От barakamer в разделе Ложные срабатывания
      Ответов: 3
      Последнее сообщение: 10.09.2009, 11:49
    4. Ответов: 1
      Последнее сообщение: 04.04.2009, 09:58
    5. Европа открывает гигантскую электронную библиотеку
      От Geser в разделе Новости интернет-пространства
      Ответов: 2
      Последнее сообщение: 21.11.2008, 19:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00856 seconds with 16 queries