Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Рекомендуемые сообщения

Здравствуйте! Подцепил зловреда на шлюзе, после чего на клиентских компьютерах пропал доступ в инет (на шлюзе остался). Пробовал лечиться avz.

Подозреваю что виноват был esentpr.dll, он был в папке system32, удалился только через bc, сейчас в проводнике его не видно и так же появился доступ в инет на клиентских компьютерах. В логе его видно все равно, полагаю что осталась ссылка в реестре, как ее удалить не знаю. Так же сидел еще один троянец, смахнулся каспером.

В логе осталось указание на cpadvai.dll и что она маскирует настоящее имя, в проводнике ее не видно, через bc тоже не удаляется, тоже вопрос что это такое и как поймать.

И вообще посмотрите пожалуйста мои логи, что мог выловил сам но подозреваю что не все, квалификации не хватает.

avz_sysinfo_.htm

hijackthis.log

avz_sysinfo_.htm

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

cpadvai.dll д.б. от КриптоПро, но лежать должен в C:\Program Files\Crypto Pro\CSP\cpadvai.dll

сравните его с C:\WINDOWS\system32\cpadvai.dll, скорее всего и по размеру и по md5 сойдуться, если удалите, рискуете остаться без нал. отчетности (переустановка CSP поможет)

выполните скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('vclsqkfl');QuarantineFile('C:\WINDOWS\system32\drivers\nxxfvitd.dat','');QuarantineFile('C:\WINDOWS\system32\esentpr.dll','');DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');DelBHO('{ACDEF835-54B9-41D8-AB49-CE1E95A693CF}');DeleteFile('C:\WINDOWS\system32\esentpr.dll');BC_ImportAll;BC_QrSvc('vclsqkfl');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ

пофиксите в HJT

O2 - BHO: (no name) - {ACDEF835-54B9-41D8-AB49-CE1E95A693CF} - C:\WINDOWS\system32\esentpr.dll (file missing)

повторите логи

зы. clean_temp.bat в автозагрузку сами ставили?

Изменено пользователем Pili
Ссылка на комментарий
Поделиться на другие сайты

Скрипты avz запустил как написали, в карантине только ini, самих файлов нет, видно были удалены раньше, если нужно выложу то что есть

Новые логи проверки прилагаю

clean_temp - да, поставил сам

cpadvai.dll - действительно библиотека Крипто Про

avz_sysinfo_2.xml

hijackthis.log

avz_sysinfo_2.xml

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

студент_86: логи AVZ не те

- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

ну и плюс сделайте лог hijackthis

- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log

зы. карантин выложите

Изменено пользователем Pili
Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...