-
Вроде бы, чисто в логах. Какие-нибудь симптомы заражения остались? Для очистки совести: вот эти строчки:
Код:
127.255.255.255 195.137.236.101
127.255.255.255 195.137.236.101
в файл hosts сами прописывали? Если нет, то AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
ClearHostsFile;
end.
И, все же, попробуйте дополнительно провериться Cureit! в безопасном режиме.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 63
Сообщение от
Numb
Вроде бы, чисто в логах. Какие-нибудь симптомы заражения остались? Для очистки совести: вот эти строчки:
Код:
127.255.255.255 195.137.236.101
127.255.255.255 195.137.236.101
в файл hosts сами прописывали? Если нет, то AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
ClearHostsFile;
end.
И, все же, попробуйте дополнительно провериться Cureit! в безопасном режиме.
Нет-нет, в файл hosts ничего не прописывал. Сейчас выполню скрипт.
К моему предыдущему сообщению об обнаружении КАВ-ом трёх зараженных файликов добавлю, что он удалил их.
По симптомам:
В каталоге \system32 вижу три оставшиеся .длл, совпадающие по предполагаемой дате заражения, по размеру (275Кб) и имеющие характерные названия (т.е. по две одинаковых буквы) и не имеющие цифровых подписей. Рядом с ними (при сортировке по времени) находятся файлы "параметры конфигурации" размером 353 байта.
Далее, в момент запуска IE проактивка КАВа буквально "захлёбывается" (сужу по индикатору загрузки процессора) от следующего:
27.04.2007 23:49:23 C:\WINDOWS\system32rundll32.exe Попытка загрузки нового или измененного модуля SpvHook.dll в процесс.
27.04.2007 23:49:23 C:\WINDOWS\system32\rundll32.exe Действие запрещено.
В качестве SpvHook.dll были и wl_hook.dll, correct.dll, winlogon.exe.
Запуск IE при этом основательно зависает. Да, чуть не забыл, -при его запуске выскакивает окно с названием "iexplorer.exe - Неверный образ" и содержимым окна " Приложение или библиотека с:\.....\agnitum\outpost...\wl_hook.dll не является образом ....для Windows NT. Проверьте назначение уст. диска."
А Cureit!-том сейчас попробую проверится, если удасться зайти в безопасный режим, ранее с этим были проблемы.
Спасибо за помощь.
С уважением.
-
Виноват, и правда, не заметил, что оутпоста нет активного. Если не сами его отключили на время создания логов, а он, действительно, был удален с машины, тогда, в дополнение, в программе hijackthis пофиксите строчки
Код:
O9 - Extra button: <PRODUCT> Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll (file missing)
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll
, в программе AVZ выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\progra~1\agnitum\outpos~1\wl_hdlr.dll');
DeleteFile('c:\progra~1\agnitum\outpos~1\wl_hook.dll');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
В дополнение, рекомендую просмотреть вот этот документ
-
-
-
-
Junior Member
- Вес репутации
- 63
Итак, похоже, всё благополучно завершилось!
Анализ программами VundoFix, VirtumundoBeGone и CureIt! не выявил более наличия на компьютере вирусных .dll . Ранее обнаруженные КАВ-ом .dll-ки были им-же и удалены. Тех упомянутых подозрительных я удалил из безопасного режима, в который теперь уже можно войти.
Для себя сделал несколько выводов, один из которых то, что вовсе не нужно сразу же форматировать диск, существуют более гуманные и щадящие, и что самое главное, более правильные методы борьбы с вирусами.
Хочу поблагодарить всех участвующих в этом топике и помогавших в решении этой проблемы и пожелать всего самого хорошего, успехов и удачи!
С уважением,
Андрей.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 5
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\cd_clint.dll - not-a-virus:AdWare.Win32.Cydoor.a (DrWEB: Adware.Cydoor.5)
- c:\\windows\\system32\\cd_load.exe - not-a-virus:AdWare.Win32.Cydoor.e (DrWEB: Adware.Cydoor.4)
- c:\\windows\\system32\\habuwoow.dll - not-a-virus:AdWare.Win32.Virtumonde.anaa (DrWEB: BackDoor.Iterator)
- c:\\windows\\system32\\mlljj.dll - not-a-virus:AdWare.Win32.Virtumonde.fp (DrWEB: Trojan.Virtumod)
-