Steel Rain 2 Опубликовано 31 октября, 2010 Share Опубликовано 31 октября, 2010 Всем доброго времени суток. На машинке Win XP prof. При проверке avz выдает кучу ошибок приложения cldapp.exe, которое, якобы, драйвер клавиатуры и лежит в ProgrammFiles. При этом не создается лог syscure. Так же показывает подозрение на RootKit практически во всех активных процессах. Подскажите пожалуйста как аккуратно извести зловреда, боюсь систему порушить. hijackthis.log virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 31 октября, 2010 Share Опубликовано 31 октября, 2010 Никаких руткитов не замечено. Пофиксите в HiJack O4 - HKLM\..\Run: [KMCONFIG] E:\Program Files\Keyboard Driver\StartAutorun.exe KMConfig.exe Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 31 октября, 2010 Автор Share Опубликовано 31 октября, 2010 Пофиксил. Удалил, на всякий случай файлик cldapp.exe. После этого удалось сделать все логи. Посмотрите пожалуйста. Ничего нет? hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 31 октября, 2010 Share Опубликовано 31 октября, 2010 Ничего плохого Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 2 ноября, 2010 Автор Share Опубликовано 2 ноября, 2010 Спасибо за помощь. Не буду плодить темы, ещё один болезный. Симптомы такие: после подключения к интернету через некоторое время перестает обрабатывать запросы. Т.е. соединение показывает что есть, а страницы не открывает и ничего не пингует. При проверке avz обнаружил Trojan.Win32.Swisyn.akxb где то в system32. Вроде бы успешно удалил, но проблема осталась. Посмотрите пожалуйста, в чем дело. Вот логи: hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 2 ноября, 2010 Share Опубликовано 2 ноября, 2010 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('C:\WINDOWS\system32\ntos.exe'); TerminateProcessByName('C:\RECYCLER\S-1-5-21-4231443685-9289753923-703358094-1513\MsMxEng.exe'); TerminateProcessByName('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe'); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-4231443685-9289753923-703358094-1513\MsMxEng.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-4231443685-9289753923-703358094-1513\MsMxEng.exe'); DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Firewall auto setup'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe O24 - Desktop Component 0: (no name) - (no file) После проведённого лечения рекомендуется установить следующие обновления: - установить SP3 для Windows XP - обновить Internet Explorer до версии 8.0 - все обновления на Windows XP а также: - откройте файл ScanVuln.txt; - выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt); - пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления; - перезагрузите компьютер; - повторно выполните скрипт и убедитесь, что уязвимости устранены. Воспользуйтесь рекомендациями из данной статьи (проверьте систему zbotkiller'ом ) http://support.kaspersky.ru/faq/?qid=208636281 Сделайте новые логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.