Показано с 1 по 16 из 16.

Сетевой червь ''Lovesan'' (заявка № 6647)

  1. #1
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    9
    Вес репутации
    64

    Сетевой червь ''Lovesan''

    Здраствуйте! У Меня вылезает этот червь и вылезает табличка с тем что ПК перезагрузится сам через минуту, но прикол весь в том что установлен sp2 и на нем поидее должна уже стоять заплатка от этого вируса. Хочю установить заплатку а мне он говорит что уже установле! Антивирус ничего не нашел!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Компьютер заражен, тоько видимо не Lovesan - по логам как минимум виден червяк Warezov. Сделайте следующее:
    1. AVZ, меню "Файл/выполнить скрипт" - скопируйте туда скрипт и запустите его:
    Код:
    begin
     QuarantineFile('iasamsre.dll','');
     QuarantineFile('statdss.dll','');
     QuarantineFile('cfgdss.dll','');
     QuarantineFile('confaud.dll','');
     QuarantineFile('diagdss.dll','');
     QuarantineFile('e1.dll','');
     QuarantineFile('audstat.dll','');
     QuarantineFile('C:\WINDOWS\system32\dssconf.exe','');
     QuarantineFile('C:\WINDOWS\system32\audconf.exe','');
     QuarantineFile('C:\WINDOWS\system32\cfgdss.dll','');
     QuarantineFile('C:\WINDOWS\system32\OdiAPI.dll','');
     QuarantineFile('C:\WINDOWS\System32\statdss.dll','');
     QuarantineFile('C:\WINDOWS\System32\iasamsre.dll','');
     QuarantineFile('C:\WINDOWS\System32\glu3panm.dll','');
     QuarantineFile('C:\WINDOWS\System32\e1.dll','');
     QuarantineFile('C:\WINDOWS\System32\diagdss.dll','');
     QuarantineFile('C:\WINDOWS\System32\confaud.dll','');
     QuarantineFile('C:\WINDOWS\System32\audstat.dll','');
     QuarantineFile('C:\WINDOWS\system32\audprf32.dll','');
     QuarantineFile('C:\WINDOWS\system32\audmgr32.dll','');
     QuarantineFile('C:\WINDOWS\system32\atkcadpt.dll','');
     QuarantineFile('c:\windows\system32\audconf.exe','');
     QuarantineFile('c:\windows\system32\atkcadpt.exe','');
    end.
    2. После выполнения скрипта в карантин попадет ряд файлов, которые нужно прислать согласно правилам для анализа

  4. #3
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    9
    Вес репутации
    64

    Smile

    Цитата Сообщение от Зайцев Олег
    Компьютер заражен, тоько видимо не Lovesan - по логам как минимум виден червяк Warezov. Сделайте следующее:
    1. AVZ, меню "Файл/выполнить скрипт" - скопируйте туда скрипт и запустите его:
    Код:
    begin
     QuarantineFile('iasamsre.dll','');
     QuarantineFile('statdss.dll','');
     QuarantineFile('cfgdss.dll','');
     QuarantineFile('confaud.dll','');
     QuarantineFile('diagdss.dll','');
     QuarantineFile('e1.dll','');
     QuarantineFile('audstat.dll','');
     QuarantineFile('C:\WINDOWS\system32\dssconf.exe','');
     QuarantineFile('C:\WINDOWS\system32\audconf.exe','');
     QuarantineFile('C:\WINDOWS\system32\cfgdss.dll','');
     QuarantineFile('C:\WINDOWS\system32\OdiAPI.dll','');
     QuarantineFile('C:\WINDOWS\System32\statdss.dll','');
     QuarantineFile('C:\WINDOWS\System32\iasamsre.dll','');
     QuarantineFile('C:\WINDOWS\System32\glu3panm.dll','');
     QuarantineFile('C:\WINDOWS\System32\e1.dll','');
     QuarantineFile('C:\WINDOWS\System32\diagdss.dll','');
     QuarantineFile('C:\WINDOWS\System32\confaud.dll','');
     QuarantineFile('C:\WINDOWS\System32\audstat.dll','');
     QuarantineFile('C:\WINDOWS\system32\audprf32.dll','');
     QuarantineFile('C:\WINDOWS\system32\audmgr32.dll','');
     QuarantineFile('C:\WINDOWS\system32\atkcadpt.dll','');
     QuarantineFile('c:\windows\system32\audconf.exe','');
     QuarantineFile('c:\windows\system32\atkcadpt.exe','');
    end.
    2. После выполнения скрипта в карантин попадет ряд файлов, которые нужно прислать согласно правилам для анализа
    Так это значит что мне нада выделить все от begin до end вставить в выполнить скрипт запустить его и прислать!?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    Цитата Сообщение от Ann
    Так это значит что мне нада выделить все от begin до end вставить в выполнить скрипт запустить его и прислать!?
    -читать и выполнять правила
    Приложение 2. Поиск файлов при помощи AVZ.

    1. Выберите "Файл" - "Добавление в карантин по списку".
    2. В верхнем окне введите список файлов которые Вас просили прислать.
    3. Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен"
    4. Закройте текущее окно "Добавление в карантин по списку"
    5. Выберите из меню "Файл" - >"Просмотр карантина".
    6. Справа в списке файлов отметьте те файлы которые хотите выслать.
    7. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
    8. Загрузите полученный архив по адресу https://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
    ...или же, если Вы решили выполнить скрипт предложенный Олегом вместо пунктов 1-4, то дольше действуйте начиная с 5-го.
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  6. #5
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    9
    Вес репутации
    64
    Цитата Сообщение от Alex Plutoff
    -читать и выполнять правила
    ...или же, если Вы решили выполнить скрипт предложенный Олегом вместо пунктов 1-4, то дольше действуйте начиная с 5-го.
    Да я все сделал...на экспертизу отправил...

  7. #6
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    9
    Вес репутации
    64
    Результат загрузки
    Файл сохранён как 061105_172430_virus_454e649eadc4a.zip
    Размер файла 330541
    MD5 50a7abdeaf56246aaeb103f508a4cb62

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Из четырех присланных файлов три детектятся, Win32.HLLM.Limar (DrWeb):
    C:\WINDOWS\system32\cfgdss.dll
    C:\WINDOWS\System32\statdss.dll
    C:\WINDOWS\System32\diagdss.dll

    Удалите файлы червя скриптом (будет перезагрузка компьютера):
    Код:
    begin
     DeleteFile('C:\WINDOWS\system32\cfgdss.dll');
     DeleteFile('C:\WINDOWS\system32\statdss.dll');
     DeleteFile('C:\WINDOWS\system32\diagdss.dll');
     DeleteFile('C:\WINDOWS\system32\iasamsre.dll');
     DeleteFile('C:\WINDOWS\system32\e1.dll');
     DeleteFile('C:\WINDOWS\system32\confaud.dll');
     DeleteFile('C:\WINDOWS\system32\audstat.dll');
     DeleteFile('C:\WINDOWS\system32\audmgr32.dll');
     DeleteFile('C:\WINDOWS\system32\audconf.exe');
     DeleteFile('C:\WINDOWS\system32\atkcadpt.exe');
     DeleteFile('C:\WINDOWS\system32\atkcadpt.dll');
     DeleteFile('C:\WINDOWS\system32\audprf32.dll');
     DeleteFile('C:\WINDOWS\system32\glu3panm.dll');
     ExecuteSysClean;
     RebootWindows(True);
    end.
    После перезагрузки сделайте, пожалуйста, логи еще раз.
    Последний раз редактировалось Alexey P.; 06.11.2006 в 19:37.

  9. #8
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    9
    Вес репутации
    64
    Цитата Сообщение от Alexey P.
    Из четырех присланных файлов три детектятся, Win32.HLLM.Limar (DrWeb):
    C:\WINDOWS\system32\cfgdss.dll
    C:\WINDOWS\System32\statdss.dll
    C:\WINDOWS\System32\diagdss.dll

    Удалите файлы червя скриптом (будет перезагрузка компьютера):
    Код:
    begin
     DeleteFile('C:\WINDOWS\system32\cfgdss.dll');
     DeleteFile('C:\WINDOWS\system32\statdss.dll');
     DeleteFile('C:\WINDOWS\system32\diagdss.dll');
     DeleteFile('C:\WINDOWS\system32\iasamsre.dll');
     DeleteFile('C:\WINDOWS\system32\e1.dll');
     DeleteFile('C:\WINDOWS\system32\confaud.dll');
     DeleteFile('C:\WINDOWS\system32\audstat.dll');
     DeleteFile('C:\WINDOWS\system32\audmgr32.dll');
     DeleteFile('C:\WINDOWS\system32\audconf.exe');
     DeleteFile('C:\WINDOWS\system32\atkcadpt.exe');
     DeleteFile('C:\WINDOWS\system32\atkcadpt.dll');
     DeleteFile('C:\WINDOWS\system32\audprf32.dll');
     DeleteFile('C:\WINDOWS\system32\glu3panm.dll');
     ExecuteSysClean;
     RebootWindows(True);
    end.
    После перезагрузки сделайте, пожалуйста, логи еще раз.
    Можно уточнить мне файы C:\WINDOWS\system32\cfgdss.dll
    C:\WINDOWS\System32\statdss.dll
    C:\WINDOWS\System32\diagdss.dll
    удолять через отложенное удаление?
    или мне сначала снова нада выполнить скрипт а потом из карантина удалить?

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    253
    Выполни скрипт сначала. AVZ - "Файл"=>"Выполнить скрипт"

    Этот скрипт и есть удаление всех эземпляров зверька.
    Про файлы в карантине можно не беспокоиться -- зверьки там не опасны.
    И после выполнения скрипта и перезагрузки сделай логи, как в начале и прикрепи их сюда. Это нужно, что бы убедится, что всё ненужное удалилось и что не осталось ли чего ещё подозрительного.
    Наше дело правое--победа будет за нами!!!

  11. #10
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    9
    Вес репутации
    64
    все сделал как вы сказали....вот логи))
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Удалите через отложенное удаление в AVZ файл:
    C:\WINDOWS\system32\dssconf.exe

    После перезагрузки пофиксите в hijackthis строки:
    O4 - HKLM\..\Run: [dssdiag] C:\WINDOWS\system32\dssconf.exe
    O20 - AppInit_DLLs: iasamsre.dll e1.dll diagdss.dll statdss.dll confaud.dll audstat.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialh k.dll
    O20 - Winlogon Notify: atkcadpt - C:\WINDOWS\
    O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)
    O20 - Winlogon Notify: dssconf - cfgdss.dll (file missing)
    и снова сделайте лог virusinfo_syscheck

  13. #12
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    9
    Вес репутации
    64
    Все зделал как вы сказали ! Вот логи)
    Вложения Вложения
    Последний раз редактировалось Ann; 08.11.2006 в 19:56.

  14. #13
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    9
    Вес репутации
    64
    Так чтоже мне дальше делать?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Кажется, можно расслабиться.

  16. #15
    Junior Member Репутация
    Регистрация
    04.11.2006
    Сообщений
    9
    Вес репутации
    64
    Так значит у меня комп уже чист)))

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от Ann
    Так значит у меня комп уже чист)))
    Чист, а что, есть какие-то сомнения?

  • Уважаемый(ая) Ann, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Сетевой червь
      От izhgray в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 17.03.2011, 17:10
    2. Новый сетевой червь
      От grobik в разделе Новости компьютерной безопасности
      Ответов: 1
      Последнее сообщение: 15.09.2010, 01:10
    3. Подозрение на сетевой червь
      От vergere в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 26.05.2010, 20:43
    4. Сетевой червь
      От NightTramp в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 18.02.2010, 15:16
    5. Сетевой червь
      От KIAMOND в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 02.06.2009, 20:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01137 seconds with 20 queries