студент_86 Опубликовано 14 февраля, 2008 Жалоба Поделиться Опубликовано 14 февраля, 2008 Здравствуйте! Подцепил зловреда на шлюзе, после чего на клиентских компьютерах пропал доступ в инет (на шлюзе остался). Пробовал лечиться avz. Подозреваю что виноват был esentpr.dll, он был в папке system32, удалился только через bc, сейчас в проводнике его не видно и так же появился доступ в инет на клиентских компьютерах. В логе его видно все равно, полагаю что осталась ссылка в реестре, как ее удалить не знаю. Так же сидел еще один троянец, смахнулся каспером. В логе осталось указание на cpadvai.dll и что она маскирует настоящее имя, в проводнике ее не видно, через bc тоже не удаляется, тоже вопрос что это такое и как поймать. И вообще посмотрите пожалуйста мои логи, что мог выловил сам но подозреваю что не все, квалификации не хватает. avz_sysinfo_.htm hijackthis.log avz_sysinfo_.htm hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 14 февраля, 2008 Жалоба Поделиться Опубликовано 14 февраля, 2008 (изменено) cpadvai.dll д.б. от КриптоПро, но лежать должен в C:\Program Files\Crypto Pro\CSP\cpadvai.dll сравните его с C:\WINDOWS\system32\cpadvai.dll, скорее всего и по размеру и по md5 сойдуться, если удалите, рискуете остаться без нал. отчетности (переустановка CSP поможет) выполните скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('vclsqkfl');QuarantineFile('C:\WINDOWS\system32\drivers\nxxfvitd.dat','');QuarantineFile('C:\WINDOWS\system32\esentpr.dll','');DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');DelBHO('{ACDEF835-54B9-41D8-AB49-CE1E95A693CF}');DeleteFile('C:\WINDOWS\system32\esentpr.dll');BC_ImportAll;BC_QrSvc('vclsqkfl');ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ пофиксите в HJT O2 - BHO: (no name) - {ACDEF835-54B9-41D8-AB49-CE1E95A693CF} - C:\WINDOWS\system32\esentpr.dll (file missing) повторите логи зы. clean_temp.bat в автозагрузку сами ставили? Изменено 14 февраля, 2008 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
студент_86 Опубликовано 14 февраля, 2008 Автор Жалоба Поделиться Опубликовано 14 февраля, 2008 Скрипты avz запустил как написали, в карантине только ini, самих файлов нет, видно были удалены раньше, если нужно выложу то что есть Новые логи проверки прилагаю clean_temp - да, поставил сам cpadvai.dll - действительно библиотека Крипто Про avz_sysinfo_2.xml hijackthis.log avz_sysinfo_2.xml hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 14 февраля, 2008 Жалоба Поделиться Опубликовано 14 февраля, 2008 (изменено) студент_86: логи AVZ не те - Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер. - Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты". ну и плюс сделайте лог hijackthis - Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log зы. карантин выложите Изменено 15 февраля, 2008 пользователем Pili Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти