Steel Rain Опубликовано 31 октября, 2010 Поделиться Опубликовано 31 октября, 2010 Всем доброго времени суток. На машинке Win XP prof. При проверке avz выдает кучу ошибок приложения cldapp.exe, которое, якобы, драйвер клавиатуры и лежит в ProgrammFiles. При этом не создается лог syscure. Так же показывает подозрение на RootKit практически во всех активных процессах. Подскажите пожалуйста как аккуратно извести зловреда, боюсь систему порушить. hijackthis.log virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 31 октября, 2010 Поделиться Опубликовано 31 октября, 2010 Никаких руткитов не замечено. Пофиксите в HiJack O4 - HKLM\..\Run: [KMCONFIG] E:\Program Files\Keyboard Driver\StartAutorun.exe KMConfig.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Steel Rain Опубликовано 31 октября, 2010 Автор Поделиться Опубликовано 31 октября, 2010 Пофиксил. Удалил, на всякий случай файлик cldapp.exe. После этого удалось сделать все логи. Посмотрите пожалуйста. Ничего нет? hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 31 октября, 2010 Поделиться Опубликовано 31 октября, 2010 Ничего плохого Ссылка на комментарий Поделиться на другие сайты Поделиться
Steel Rain Опубликовано 2 ноября, 2010 Автор Поделиться Опубликовано 2 ноября, 2010 Спасибо за помощь. Не буду плодить темы, ещё один болезный. Симптомы такие: после подключения к интернету через некоторое время перестает обрабатывать запросы. Т.е. соединение показывает что есть, а страницы не открывает и ничего не пингует. При проверке avz обнаружил Trojan.Win32.Swisyn.akxb где то в system32. Вроде бы успешно удалил, но проблема осталась. Посмотрите пожалуйста, в чем дело. Вот логи: hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 2 ноября, 2010 Поделиться Опубликовано 2 ноября, 2010 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('C:\WINDOWS\system32\ntos.exe'); TerminateProcessByName('C:\RECYCLER\S-1-5-21-4231443685-9289753923-703358094-1513\MsMxEng.exe'); TerminateProcessByName('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe'); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-4231443685-9289753923-703358094-1513\MsMxEng.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-4231443685-9289753923-703358094-1513\MsMxEng.exe'); DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Firewall auto setup'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe O24 - Desktop Component 0: (no name) - (no file) После проведённого лечения рекомендуется установить следующие обновления: - установить SP3 для Windows XP - обновить Internet Explorer до версии 8.0 - все обновления на Windows XP а также: - откройте файл ScanVuln.txt; - выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt); - пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления; - перезагрузите компьютер; - повторно выполните скрипт и убедитесь, что уязвимости устранены. Воспользуйтесь рекомендациями из данной статьи (проверьте систему zbotkiller'ом ) http://support.kaspersky.ru/faq/?qid=208636281 Сделайте новые логи по правилам. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти