Показано с 1 по 14 из 14.

advapi32.dll (заявка № 38550)

  1. #1
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    33

    Thumbs up advapi32.dll

    Здравствуйте! Need help!
    Буквально вчера-позавчера Comodo Internet Security (бесплатный официальный Firewall+Antivirus) нашел вирус в файле advapi32.dll

    Вот что Comodo пишет:
    Name: Unclassified Malware@4240985
    Location: C:\Windows\system32\advapi32.dll

    Окно с вирусом появляется каждый раз при включении компьютера. То сразу, то не сразу. По-началу я нажимал Quarantine в действиях Comodo, но потом со временем ничего не нажимал, окно пропадает со временем. Файл все равно находится в папке Windows. Я думаю, странно, как это Comodo стал видеть этот вирус? Или он принимает его за вирус? Стоит Firewall с функцией HIPS, где меня предупреждают о возможных атаках и разрешениях процессов системы.

    Логи прикрепил.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;
    QuarantineFile('C:\WINDOWS\system32\ADVAPI32.dll','');
    end.
    Пришлите карантин...

  4. #3
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    33
    Здравствуйте! Вчера было уже поздно, потому ничего не стал отправлять. Сейчас выполнил скрипт.
    AVZ пишет:

    Ошибка карантина файла, попытка пямого чтения (C:\Windows\system32\ADVAPI32.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка пямого чтения (C:\Windows\system32\ADVAPI32.dll)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка пямого чтения (C:\Windows\system32\advapi32.dll)
    Карантин с использованием прямого чтения - ошибка
    Выполнен карантин файла C:\WINDOWS\system32\advapi32.dll

    Папка карантина сегодняшним числом пустая.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Ручками его найдите в этой директории, запакуйте с паролем "virus" и пришлите...

  6. #5
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    33
    Спасибо. WinRAR пишет: Невозможно открыть advapi32.dll, отказано в доступе.
    Скопировать куда-лиюо его тоже нельзя. Остальные .dll из папки копируются.
    И кстати из Comodo восстановить его тоже нельзя, нажимая "restore".

    Когда я включил Поиск - Найти - Файлы и папки (из меню пуск), то нашелся еще один advapi32.dll На этот раз в папке C:\Windows\ServicePackFiles\i386\advapi32.dll Я его тоже нажал Quarantine. Comodo в этот момент его нашел. У меня стоит SP3 (Официально обновленный через Интернет, сам Windows XP SP1 лицензионый.)

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ADVAPI32.dll','');
     BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин если он попадет в него...

  8. #7
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    33
    Елки-палки, я забыл отключить восстановление системы...
    Скрипт выполнился успешно. Карантин создан. Но, Comodo опять находит вирус в system32\advapi32.dll
    При попытке заархивировать карантин Comodo пишет, что вирус в avz4\Quarantine\2009-01-30\bcqr00002.dta
    Значит AVZ его поймал, но опять же из-за отключенного восстановления системы advapi32.dll появился в system32.
    В папке C:\Windows\ServicePackFiles\i386\ advapi32.dll уже нет.

    Что мне делать, отключить срочно восстановление системы и повторить последний скрипт ?
    Заархивировать именно карантин никак не получается.




    Отключил восстановление системы. Скачал новый avz4. Выполнил скрипт, все прошло удачно. Но, заархивировать файл никак не удается. При архивации появляется окно Comodo, в котором указано, что в карантине вирус, как я писал выше. И архивация пишет, что операция невозможна.

    Кстати, CureIT и AVPTool ничего плохого не находят. Все чисто.
    А advapi32.dll при поиске все же опять находится там же: C:\Windows\system32\advapi32.dll
    Последний раз редактировалось JUNKMAN; 30.01.2009 в 14:17.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Отключите комодо и заархивируйте...

  10. #9
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    33
    Да, спасибо, отключил на время Comodo, и карантин успешно заархивировался.
    Карантин выслал, пароль не ставил, так как про него не было сказано в правилах.

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Установите пароль virus и пришлите, вы прислали пустой карантин...

  12. #11
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    33
    Заархивировал карантин через AVZ. Высылаю.
    Действительно, по ошибке до этого я прислал вчерашний пустой карантин.

    Если делать не через AVZ, а просто rar`ом или zip`ом, то файлы с разрешением .dta (в новом карантине) не архивируются даже при отключенном Comodo. Файлы заблокированы. Нет доступа.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Этот файл чистый, ложняк Comodo...

  14. #13
    Junior Member Репутация
    Регистрация
    21.01.2008
    Адрес
    Saint-Petersburg
    Сообщений
    29
    Вес репутации
    33
    Ясно, спасибо.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) JUNKMAN, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. advapi32.$$$
      От matan в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 08:54
    2. advapi32.dll
      От Anton2008 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.01.2009, 21:45
    3. advapi32.$$$
      От D060606 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 26.12.2008, 11:28
    4. advapi32.$$$
      От ekv в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.12.2008, 02:22
    5. advapi32.$$$
      От evs в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.09.2008, 12:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01216 seconds with 21 queries