w32.stration@mm - регулярное возникновение предупреждений

[Яна]

Добрый день!
Подскажите, что нужно сделать. Ситуация следующая:
регулярно (чаще всего сразу после подключения к интернету) появляется сообщение Norton Antivirus об удалении инфицированных файлов cfgmmprm.dll, vdshlicw.exe, shsvmdim.dll. Дальше появляется уведомление о том, что w32.stration@mm "repaired". Но потом снова возникают предупреждения об удалении указанных файлов.
Больше никаких ухудшений в работе компьютера пока не наблюдается.

Прилагаю лог-файлы согласно правилам.
Спасибо!

[HATTIFNATTOR]

Пришлите, как описано в правилах:

C:\WINDOWS\System32\uregdeve.*
C:\WINDOWS\system32\epm-po.dll
C:\WINDOWS\system32\sysenv.dll
C:\WINDOWS\system32\scsm.exe
C:\WINDOWS\system32\MSNCHATHOOK.DLL
cfgmmprm.dll
vdshlicw.exe
shsvmdim.dll

[Яна]

Все файлы, кроме cfgmmprm.dll и vdshlicw.exe были загружены. эти файлы не были найдены.

[vovila]

Не могу ответить в теме http://virusinfo.info/showthread.php?t=6461, поэтому создаю новую.
Сходил по ссылке, которую прислал по асе знакомый. Ссылка была на фотку, но опера предложила качнуть ехешник. Обычно в таких случаях я не качаю и не запускаю ничего, но черт меня дернул качнуть, да потом еще и запустить эту гадость :-). Ничего сразу не произошло, но минут через 10 symantec antivirus corp 10.1.0.394 начал выдавать сообщения об обнаруженной угрозе "w32.stration@mm" в файлах cfgmmprm.dll, vdshlicw.exe, shsvmdim.dll, как и указала Яна в вышеуказанной теме. Были по-моему еще какие-то файлы, не помню уже... Ну удалил и ладно.. Чуть поздее снова начали появляться подобные сообщения. Запустил сканер, проверил - все чисто. Но мессаги продолжали валиться с частотой примерно раз в 15 мин, полчаса, час. Мне это надоело и я начал копаться в инете на всяческих форумах. Ничего путного я не нашел. На сайте симантека предлагали обновить базы и "будет вас счастье". два дня я лазил в инете, перепробовал кучу антивирусов, облазил свои автозагрузки, процессы и совершил кучу всяких действий :-). Sophos антивирус обратил мое внимание на файл lprmneth.exe, на который он говорил что-то типа Malicious и отправлял на свой сайт. Удалить он его не мог, я попробовал сам, но винда удалять его не давала, хотя в процессах я его убивал. Мне помог в этом Unlocker http://ccollomb.free.fr/unlocker/ . Дальше гугль мне рассказал про этот файл много полезного :-).

1. Убиваем файлы:
%windir%\system32\confega.dll
%windir%\system32\dmimmdt2.exe
%windir%\system32\dssconf.exe
%windir%\system32\e1.dll
%windir%\system32\egamgr32.dll
%windir%\system32\egastat.dll
%windir%\system32\evenncob.dll
%windir%\system32\lprmneth.dll
%windir%\system32\lprmneth.exe
%windir%\system32\msisnwcf.dll
%windir%\system32\snmpmmcn.dll
%windir%\system32\sysshtic.dll
%windir%\system32\sysshtic.exe
%windir%\system32\winbpowr.exe
(если не получается удалить, вам поможет тот самый Unlocker)

2. Убиваем ключи ы реестре:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dssmgr
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lprmneth
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysshtic

3. Убиваем параметр в реестре:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | egdiag


Вобщем мне помогло, антивирь вроде не ругается уже полдня.

[HATTIFNATTOR]

AVZ - AVZGuard - включить AVZGuard.

Через файл-отложенное удаление файла удалите
C:\WINDOWS\system32\scsm.exe
C:\WINDOWS\System32\uregdeve.dll
C:\WINDOWS\System32\uregdeve.exe, подтвердив эвристическую чистку ссылок. Перезагрузите компьютер, не выходя из AVZ и не отключая AVZGuard и повторите лог из п. 10 правил.

[Alex Plutoff]

C:\WINDOWS\System32\uregdeve.dll

Authentium 4.93.8 10.13.2006 Possibly a new variant of W32/Bongler-based
BitDefender 7.2 10.13.2006 DeepScan:Generic.Stration.102D26B8
Fortinet 2.82.0.0 10.13.2006 PossibleThreat
F-Prot 3.16f 10.13.2006 Possibly a new variant of W32/Bongler-based
F-Prot4 4.2.1.29 10.13.2006 W32/Bongler-based
UNA 1.83 10.13.2006 I-Worm.Warezov
VBA32 3.11.1 10.13.2006 suspected of Worm.Warezov.2 (paranoid heuristics)

C:\WINDOWS\System32\uregdeve.exe

BitDefender 7.2 10.13.2006 DeepScan:Generic.Stration.01C08548
CAT-QuickHeal 8.00 10.12.2006 (Suspicious) - DNAScan
Fortinet 2.82.0.0 10.13.2006 suspicious
Ikarus 0.2.65.0 10.13.2006 Packer.byDwing
McAfee 4873 10.13.2006 New Malware.n
NOD32v2 1.1803 10.13.2006 Win32/Stration.HJ
Panda 9.0.0.4 10.13.2006 Suspicious file
Sophos 4.10.0 10.13.2006 Mal/Packer
VBA32 3.11.1 10.13.2006 suspected of Worm.Warezov.2 (paranoid heuristics)

C:\WINDOWS\system32\scsm.exe

Avast 4.7.892.0 10.13.2006 Win32:Warezov-KV
AVG 386 10.13.2006 I-Worm/Stration.PZ
BitDefender 7.2 10.14.2006 DeepScan:Generic.Malware.Fign!.AEAB202C
CAT-QuickHeal 8.00 10.12.2006 (Suspicious) - DNAScan
DrWeb 4.33 10.13.2006 Win32.HLLM.Limar
Fortinet 2.82.0.0 10.13.2006 PossibleThreat!012105
Ikarus 0.2.65.0 10.13.2006 Packer.byDwing
McAfee 4873 10.13.2006 New Malware.n
Panda 9.0.0.4 10.13.2006 Suspicious file
Sophos 4.10.0 10.13.2006 Mal/Packer
VBA32 3.11.1 10.13.2006 suspected of Worm.Warezov.2 (paranoid heuristics)

[Яна]

log-файл загрузила.
Что касается темы http://virusinfo.info/showthread.php?t=6462 - ситуация аблосютно аналогичная. Но перечисленных файлов и ключей в реестре на компьютере нет...

[HATTIFNATTOR]

Если не сложно и нет проблемы с трафиком пришлите файлы для добавления в базу безопасных, как описано здесь - http://virusinfo.info/index.php?page=upload_clean

P.S. Проблема осталась?

[Яна]

Да, антивирусник достаточно долго уже не ругается.
Спасибо за помощь!

После закачки архива для добавления в базу безопасных файлов не вышел отчет о завершении загрузки. Остается только надеятся, что файл загрузился успешно...
Еще раз спасибо

[drongo]

Значит не вышло загрузить . А сколько мегабайт получился архив ? Загружать желательно эксплорером . Можно разбить по идее раром на части , если соединение не позволяет .