Какие-то atiddaxx.dll, atiddbxx.sys (которых на диске не найти). Еще mswapi.dll попорчен вроде.
В общем - жду помощи. То что SP1 - это плохо - понятно. Вопрос апгрейда буду позже решать.
Какие-то atiddaxx.dll, atiddbxx.sys (которых на диске не найти). Еще mswapi.dll попорчен вроде.
В общем - жду помощи. То что SP1 - это плохо - понятно. Вопрос апгрейда буду позже решать.
Исправитесь, надеюсь.Код:Внимание !!! База поcледний раз обновлялась 17.04.2007 - необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Выполните скрипт в AVZ
"Пофиксите" в HijackThisКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\mswapi.dll',''); QuarantineFile('C:\WINDOWS\System32\atiddbxx.sys',''); QuarantineFile('C:\WINDOWS\System32\mswshell.dll',''); QuarantineFile('C:\WINDOWS\System32\atiddaxx.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.Пришлите файлы карантина по правилам раздела "Помогите".Код:O20 - AppInit_DLLs: kеrnеl32.dll
Карантин закачал. Почему-то большинство файлов в карантине задублировалось. Я послал все - вдруг различаются
mswapi.dll - Trojan-Spy.Win32.Iespy.n
mswshell.dll - Trojan-PSW.Win32.Vipgsm.bm
atiddaxx.dll, atiddbxx.sys - Trojan-Spy.Win32.Goldun.ph
Поищите с помощью AVZ файл kеrnеl32.dll (имя не вводите руками, а скопируйте из этого сообщения и вставьте в строку поиска!), добавьте в карантин и пришлите по правилам.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\atiddaxx.dll'); DeleteFile('C:\WINDOWS\System32\mswshell.dll'); DeleteFile('C:\WINDOWS\System32\mswapi.dll'); DeleteFile('kеrnеl32.dll'); BC_DeleteSvc('atiddbxx'); BC_DeleteFile('C:\WINDOWS\System32\atiddbxx.sys'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(6); BC_Activate; RebootWindows(true); end.
Пофиксите в HijackThis то, что останется из этих строк:
Сделайте новые логи.Код:O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\System32\mswapi.dll O20 - AppInit_DLLs: kеrnеl32.dll O20 - Winlogon Notify: atiddaxx - C:\WINDOWS\SYSTEM32\atiddaxx.dll O21 - SSODL: Shell - {2539E7E9-BCD9-42C3-A28B-6F88C06987C8} - mswshell.dll (file missing)
Последний раз редактировалось Bratez; 25.05.2007 в 10:06.
I am not young enough to know everything...
Kernel закачал. Я его еще ранее переименовал, заметив, что он поддельный (буквы "е" - русские)
Новые логи
Поддельный kеrnеl32.dll - Trojan-PSW.Win32.Vipgsm.bm
А логи AVZ делали до фиксов, что ли? Не согласуются с логом HJT.
Если судить по последнему, то все успешно удалено.
Меняйте пароли, вероятно они успели "уплыть" на сторону!
I am not young enough to know everything...
Восстановление системы отключено? Если нет, то лечение м.б. бесполезным.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Фиксил в последнюю очередь, после выполнения скриптов AVZ. Надо наоборот?
Восстановление не отключал (забыл). Буду наблюдать - не появится ли что вновь.
Всем огромное спасибо.
Сделайте заново логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Ясно море, сначала сделать все дела, потом делать все логи.Надо наоборот?
Отключите, чтобы удалились старые КТ, потом можно включить обратно.Восстановление не отключал (забыл).
После этого неплохо бы логи еще раз, начиная с п.10 правил.
I am not young enough to know everything...
Отключил восстановление. Сделал логи.
И еще не нравится мне несколько файлов из system32. У них достаточно свежие даты создания и нет никакой инф. о производителе, названии и т.п.
Можно их выслать карантином?
В логах все чисто, можете не беспокоиться.
Единственно - вот этот файлик можно глянуть:
Есть замечательный сервис - Virustotal - можете проверить свои подозрительные файлы.C:\Program Files\Compaq\Easy Access Button Support\Uninst.exe >>> подозрение на Trojan.Win32.Small.kr ( 003E616C 00000000 0019A7AE 001E683C 24576)
I am not young enough to know everything...
Uninst отправил
Uninst на Virustotal никем не детектится, видимо ложная тревога.
I am not young enough to know everything...
скорее всего: http://www.fbmsoftware.com/spyware-n...Access_Button/
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\atiddaxx.dll - Trojan-Spy.Win32.Goldun.ph (DrWEB: Trojan.PWS.Kalibr)
- c:\\windows\\system32\\atiddbxx.sys - Trojan-Spy.Win32.Goldun.ph (DrWEB: Trojan.PWS.Kalibr)
- c:\\windows\\system32\\kеrnеl32.dllx - Trojan-PSW.Win32.Vipgsm.bk (DrWEB: Trojan.PWS.Vipgsm)
- c:\\windows\\system32\\mswapi.dll - Trojan-Spy.Win32.Iespy.n (DrWEB: Trojan.PWS.Iespy)
- c:\\windows\\system32\\mswshell.dll - Trojan-PSW.Win32.Vipgsm.bm (DrWEB: Trojan.PWS.Vipgsm)
Уважаемый(ая) SNP, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.