студент_86 Опубликовано 14 февраля, 2008 Жалоба Поделиться Опубликовано 14 февраля, 2008 Здравствуйте! Подцепил зловреда на шлюзе, после чего на клиентских компьютерах пропал доступ в инет (на шлюзе остался). Пробовал лечиться avz. Подозреваю что виноват был esentpr.dll, он был в папке system32, удалился только через bc, сейчас в проводнике его не видно и так же появился доступ в инет на клиентских компьютерах. В логе его видно все равно, полагаю что осталась ссылка в реестре, как ее удалить не знаю. Так же сидел еще один троянец, смахнулся каспером. В логе осталось указание на cpadvai.dll и что она маскирует настоящее имя, в проводнике ее не видно, через bc тоже не удаляется, тоже вопрос что это такое и как поймать. И вообще посмотрите пожалуйста мои логи, что мог выловил сам но подозреваю что не все, квалификации не хватает. avz_sysinfo_.htm hijackthis.log avz_sysinfo_.htm hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 14 февраля, 2008 Жалоба Поделиться Опубликовано 14 февраля, 2008 (изменено) cpadvai.dll д.б. от КриптоПро, но лежать должен в C:\Program Files\Crypto Pro\CSP\cpadvai.dll сравните его с C:\WINDOWS\system32\cpadvai.dll, скорее всего и по размеру и по md5 сойдуться, если удалите, рискуете остаться без нал. отчетности (переустановка CSP поможет) выполните скрипт beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('vclsqkfl');QuarantineFile('C:\WINDOWS\system32\drivers\nxxfvitd.dat','');QuarantineFile('C:\WINDOWS\system32\esentpr.dll','');DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');DelBHO('{ACDEF835-54B9-41D8-AB49-CE1E95A693CF}');DeleteFile('C:\WINDOWS\system32\esentpr.dll');BC_ImportAll;BC_QrSvc('vclsqkfl');ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ пофиксите в HJT O2 - BHO: (no name) - {ACDEF835-54B9-41D8-AB49-CE1E95A693CF} - C:\WINDOWS\system32\esentpr.dll (file missing) повторите логи зы. clean_temp.bat в автозагрузку сами ставили? Изменено 14 февраля, 2008 пользователем Pili Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
студент_86 Опубликовано 14 февраля, 2008 Автор Жалоба Поделиться Опубликовано 14 февраля, 2008 Скрипты avz запустил как написали, в карантине только ini, самих файлов нет, видно были удалены раньше, если нужно выложу то что есть Новые логи проверки прилагаю clean_temp - да, поставил сам cpadvai.dll - действительно библиотека Крипто Про avz_sysinfo_2.xml hijackthis.log avz_sysinfo_2.xml hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 14 февраля, 2008 Жалоба Поделиться Опубликовано 14 февраля, 2008 (изменено) студент_86: логи AVZ не те - Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер. - Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты". ну и плюс сделайте лог hijackthis - Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log зы. карантин выложите Изменено 15 февраля, 2008 пользователем Pili Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.