(ночью кидал ссылку на скачаный файл через форму - отправить подозрительную ссылку)
зацепил по аське файл goog_move.exe, и сдуру запустил....
Symantec после перезагрузки выкидывает алерты:
confcon.dll 3шт (удалено-требуется перезагрузка)
conprf32.dll 2шт (удалено)
psapdani.dll 2шт (удалено)
hypewmv9.exe 2шт (удалено)
netftrm.dll 2шт (удалено)
если подождать какое то время не закрывая алерт и не перезагружаясь, то список удалённых файлов повторяется.
найти эти файлы в системе не получилось.
имхо, оно генерится и тут-же отлавливается нортоном и киляется.
вечным и неизменным, и в сис32 и в автозагрузке, остаётся yapconf.exe
удалял его и отложено и по всякому....
при первом скане AVZ червя отследил и удалил.
после перезагрузки и сей момент (в течении почти 12 часов) - ничего подозрительного в системе не находит.
Symantec после каждой перезагрузки выкидывает прежние алерты, yapconf живее всех живых, при подключении к WAN начинается массовая рассылка на яху и аол.
провайдер сказал, что не только туда, список ip расширяется.
на данный момент тупо заблокировал 25 порт на роутере...вроде стало полегче.
хелп ми, вощем
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выслал.
в наличии только:
C:\WINDOWS\SYSTEM32\conmgr32.dll
C:\WINDOWS\system32\samsusrr.dll
c:\windows\system32\yapconf.exe
C:\WINDOWS\system32\constat.dll
я тут еще посканил машину......
------------------
20:23:29: Infected file (Win32.Unknown.Random.X) c:\windows\installer\{ac76ba86-1033-0000-7760-000000000002}\sc_acrobat.exe
20:23:29: Infected file (Sys32.conmgr32) C:\WINDOWS\system32\conmgr32.dll
20:23:29: Infected file (Sys32.sfrem01) C:\WINDOWS\system32\sfrem01.exe
20:23:29: Infected file (Sys32.yapconf) C:\WINDOWS\system32\yapconf.exe
20:23:29: Infected directory C:\Program Files\rds
20:27:43: Infected file (Win32.Spyware.AppsTraka) C:\Program Files\rds\RemoteDesktopServer.exe
20:27:43: Infected file (Win32.Spyware.AppsTraka) C:\Program Files\rds\users.ini
20:23:29: 7 Dangerous files has been found on your computer.
-------------------
после скана был произведён фикс, потом перезагрузка, сейчас сканер пишет что машина дественна, а симантек выкидывает алерты......всё как и раньше
Dr.Web Curelt нашел еще два файла с вирусом win32.HLLM.Limar
samsusrr.dll и samsusrr.exe
я чего-то не понимаю, или нет стандартизации вирусных имён и кто как хочет так его и называет?
Пришло 3 файла-
C:\WINDOWS\system32\samsusrr.dll
c:\windows\system32\yapconf.exe
C:\WINDOWS\system32\constat.dll
Все зловреды
AVZ - AVZGuard - включить AVZGuard.
Через файл-отложенное удаление файла удалите
C:\WINDOWS\system32\samsusrr.dll
c:\windows\system32\yapconf.exe
C:\WINDOWS\system32\constat.dll
, подтвердив эвристическую чистку ссылок. Перезагрузите компьютер, не выходя из AVZ и не отключая AVZGuard и повторите лог HjT и лог из п. 10 правил.
2 HATTIFNATTOR
Спасибо Вам за проявленное внимание
я вроде уже справился (во всяком случае полчаса алертов нет.....хотя может вообще наглухо заразился весь ....тьфу,тьфу,тьфу)
добил его тандемом - нав+др.веб+процесс эксплорер
Пофиксите а HjT строки
O20 - Winlogon Notify: conmgr - conmgr32.dll (file missing)
O20 - Winlogon Notify: samsusrr - C:\WINDOWS\system32\samsusrr.dll
В AVZ через поиск данных в реестре поищите по имени yapconf.exe и удалите ключ ссылающийся на него.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
W32.Stration@mm
