Показано с 1 по 20 из 20.

Помогите!!! Email-Worm.Win32.Warezov.df (заявка № 6726)

  1. #1
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    37

    Thumbs up Помогите!!! Email-Worm.Win32.Warezov.df

    Здравствуйте.
    Помогите справиться с вирусом!!!
    Периодически всплывает окно с информацией:
    Detected:
    Virus: Email-Worm.Win32.Warezov.df
    File: C:\WINDOWS\System32\samsusrr.exe
    Action
    File contains virus cannot be disinfected: write access is denied.
    Что делать???
    Найти этот файл не могу, есть только samsusrr.dll
    После переустановки Win не бало антивирусной проги. Недавно установил Каспера, удалил порядка 140 вирусов. С компом на уровне пользователя
    Вложения Вложения
    Последний раз редактировалось Slava0711; 11.11.2006 в 19:04.

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    226
    Для начала нужно выполнить Правила. В процессе выполнения правил нужно скачать и запустить две программки. Эти программы сделают три лога, которые нужно будет прикрепить к этому топику.
    Вот по результатам анализа этих логов эксперты и хэлперы и смогут что-то конкретное посоветовать.
    А без логов можно только на кофейной гуще гадать. Этот червь Worm.Win32.Warezov постоянно модифицируется и поэтому одного универсального способа излечения от него нет.
    Выполни Правила http://virusinfo.info/showthread.php?t=1235
    Наше дело правое--победа будет за нами!!!

  4. #3
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    37
    Прикрепил логи.........

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Искать через AVZ , Поставить галку " противодействие руткитам" Найти и запаковать файлы , потом пришлёте нам .
    Вот и они :
    C:\WINDOWS\system32\samsusrr.dll
    C:\WINDOWS\system32\audmgr32.dll
    C:\WINDOWS\system32\audstat.dll
    C:\WINDOWS\system32\confaud.dll
    C:\WINDOWS\system32\confcon.dll
    C:\WINDOWS\system32\conmgr32.dll
    C:\WINDOWS\system32\constat.dll
    C:\WINDOWS\system32\cp8xpqj.dll
    C:\WINDOWS\system32\psapdani.dll

  6. #5
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    37
    Не могу найти - где в AVZ поставить галку " противодействие руткитам"
    А чуть подробнее - как искать с помощью AVZ ?
    Последний раз редактировалось Slava0711; 11.11.2006 в 20:20.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Slava0711
    Не могу найти - где в AVZ поставить галку " противодействие руткитам"
    в главном окне закладка "Параметры поиска", там поставить галочки напротив "Блокировать работу RootKit User-Mode" и "Блокировать работу RootKit Kernel-Mode"

    Цитата Сообщение от Slava0711
    А чуть подробнее - как искать с помощью AVZ ?
    http://virusinfo.info/showthread.php?t=4567

  8. #7
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    37
    Не находит ни одного файла никаким способом по http://virusinfo.info/showthread.php?t=4567

  9. #8
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    37
    Как только этого гада у меня в компе не будет, что дальше : включаю восстановление системы, в принципе можно удалить проги AVZ и HijackThis - они наверное больше не понадобятся и все???
    Еще вопрос: файлы и папки, помеченные значком "$", можно смело удалять? Или что это? До установки антивирусной программы их вроде не было...
    Последний раз редактировалось Slava0711; 11.11.2006 в 20:58.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    932
    -странно... неужели совсем ничего не находит?.. и даже не находит, если искать согласно пунктов 2 и 3 рекомендаций http://virusinfo.info/showthread.php?t=4567?.. разумеется с включённой блокировкой работы RootKit?..
    -на всякий случай, попробуйте ещё так: AVZ > закладка Параметры поиска > Блокировать работу RootKit (поставить обе галки User-Mode и Kernel-Mode) > Файл > Выполнить скрипт > скопируйте приведённый ниже скрипт в окно Запуск скрипта и нажмите Запустить
    begin
    QuarantineFile('C:\WINDOWS\system32\psapdani.dll', '');
    QuarantineFile('C:\WINDOWS\system32\cp8xpqj.dll',' ');
    QuarantineFile('C:\WINDOWS\system32\constat.dll',' ');
    QuarantineFile('C:\WINDOWS\system32\conmgr32.dll', '');
    QuarantineFile('C:\WINDOWS\system32\confcon.dll',' ');
    QuarantineFile('C:\WINDOWS\system32\confaud.dll',' ');
    QuarantineFile('C:\WINDOWS\system32\audstat.dll',' ');
    QuarantineFile('C:\WINDOWS\system32\audmgr32.dll', '');
    QuarantineFile('C:\WINDOWS\system32\samsusrr.dll', '');
    end.
    -ну, а по поводу того, "что дальше", пока ничего сказать нельзя, т.к. не выполнено то, что от Вас просили... "файлы и папки, помеченные значком "$"" пока тоже не следует трогать!
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  11. #10
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    37
    Сделал..... Пишет: скрипт выполнен без ощибок.
    За сутки окно антивируса пока ни разу не появлялось.
    До установки AVZ в каталоге C:\WINDOWS\System32\ был файл samsusrr.dll, сейчас его там нет..... Может AVZ решил мою проблему?...?

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    736
    Нет, скрипт должен был только скопировать в карантин перечисленные файлы. Но Вы их не прислали. Как - см. в конце Правил.
    Просмотрите карантин в AVZ - "Файл - Просмотр карантина" и отправьте запрошенные файлы. Ссылка на Вашу тему (для отправки):
    http://www.virusinfo.info/showthread.php?t=6726

  13. #12
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    37

    Exclamation

    Мои действия: запускаю AVZ > закладка Параметры поиска > Блокировать работу RootKit (поставлю обе галки User-Mode и Kernel-Mode) > Файл > Выполнить скрипт > копирую приведённый ниже скрипт в окно Запуск скрипта и нажимаю Запустить. Пишет:скрипт выполнен без ощибок .
    Просматриваю карантин в AVZ - "Файл - Просмотр карантина" - пусто...
    Просматриваю "Файл - Просмотр папки infected" - все, что там есть заархивировал и загрузил, как написано в правилах (Результат загрузки
    Файл сохранён как 061112_080058_virus_45571b0a19780.zip
    Размер файла 360899
    MD5 237771bc342849cb9f2fa78e8fc89b14
    Файл закачан, спасибо!).
    запускаю AVZ > закладка Параметры поиска > Блокировать работу RootKit (поставлю обе галки User-Mode и Kernel-Mode) > Сервис> Поиск файлов на диске - ищу по всякому (по инструкции) и только на "С" и во всем компьютере - ничего не находит, пусто... (строку поиска видно).
    Что еще делать.......

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    736
    В присланном архиве существенны только
    c:\windows\system32\samsusrr.dll
    C:\WINDOWS\system32\samsusrr.bak
    их надо удалить отложенным удалением из AVZ (с чисткой), если оно еще есть (в смысле еще не удалил KAV).

    остальные присланные из карантина KAV - они уже не опасны

    К слову - когда ищете файл в AVZ, вводите только имя файла - к примеру, не
    C:\WINDOWS\system32\constat.dll
    а только constat.dll

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    736
    Когда удалите - сделайте логи еще раз для контроля.

  16. #15
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    37
    К примеру: файл искал в AVZ: C:\WINDOWS\system32\constat.dll и constat.dll и constat*.dll - ничего не нашел.
    Прикрепляю вновь сделанные логи. Сам ничего не удалял.
    Вложения Вложения

  17. #16
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    37
    Я сделал , как Вы писали.
    Большое спасибо за внимание к моей прблеме.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    932
    -AVZ > Сервис > Менеджер автозапуска > выделить C:\WINDOWS\system32\samsusrr.dll > Удалить элемент автозапуска (кнопка с крестиком на панели инструментов)
    ...проделайте ту же процедуру для файлов:
    audmgr32.dll
    audstat.dll
    confaud.dll
    confcon.dll
    conmgr32.dll
    constat.dll
    cp8xpqj.dll
    e1.dll
    psapdani.dll

    -пофиксите в HijackThis строки:
    O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)
    O20 - Winlogon Notify: conmgr - conmgr32.dll (file missing)
    O20 - Winlogon Notify: samsusrr - C:\WINDOWS\system32\samsusrr.dll (file missing)
    Последний раз редактировалось Alex Plutoff; 13.11.2006 в 20:58.
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  19. #18
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    37
    Сделал.
    Прикрепляю логи для контроля.
    Вложения Вложения

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    в логах все чисто

  21. #20
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    37
    Спасиба всем!
    Персонально - Alex Plutoff !

  • Уважаемый(ая) Slava0711, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Email-Worm.Win32.Warezov.et
      От zom в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 08:40
    2. Email-Worm.Win32.Warezov.et
      От Neil в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 10.01.2007, 21:08
    3. Email-Worm.Win32.Warezov.eu (.do)
      От for_igor в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.11.2006, 16:50
    4. Помогите опять этот гад Email-Worm.Win32.Warezov
      От VRV в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 06.11.2006, 19:58
    5. Email-Worm.Win32.Warezov
      От Single в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.10.2006, 23:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00297 seconds with 24 queries