Здравствуйте.
Помогите справиться с вирусом!!!
Периодически всплывает окно с информацией:
Detected:
Virus: Email-Worm.Win32.Warezov.df
File: C:\WINDOWS\System32\samsusrr.exe
Action
File contains virus cannot be disinfected: write access is denied.
Что делать???
Найти этот файл не могу, есть только samsusrr.dll
После переустановки Win не бало антивирусной проги. Недавно установил Каспера, удалил порядка 140 вирусов. С компом на уровне пользователя
Последний раз редактировалось Slava0711; 11.11.2006 в 19:04.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Для начала нужно выполнить Правила. В процессе выполнения правил нужно скачать и запустить две программки. Эти программы сделают три лога, которые нужно будет прикрепить к этому топику.
Вот по результатам анализа этих логов эксперты и хэлперы и смогут что-то конкретное посоветовать.
А без логов можно только на кофейной гуще гадать. Этот червь Worm.Win32.Warezov постоянно модифицируется и поэтому одного универсального способа излечения от него нет.
Выполни Правила http://virusinfo.info/showthread.php?t=1235
Искать через AVZ , Поставить галку " противодействие руткитам" Найти и запаковать файлы , потом пришлёте нам .
Вот и они :
C:\WINDOWS\system32\samsusrr.dll
C:\WINDOWS\system32\audmgr32.dll
C:\WINDOWS\system32\audstat.dll
C:\WINDOWS\system32\confaud.dll
C:\WINDOWS\system32\confcon.dll
C:\WINDOWS\system32\conmgr32.dll
C:\WINDOWS\system32\constat.dll
C:\WINDOWS\system32\cp8xpqj.dll
C:\WINDOWS\system32\psapdani.dll
Не могу найти - где в AVZ поставить галку " противодействие руткитам"
в главном окне закладка "Параметры поиска", там поставить галочки напротив "Блокировать работу RootKit User-Mode" и "Блокировать работу RootKit Kernel-Mode"
Как только этого гада у меня в компе не будет, что дальше : включаю восстановление системы, в принципе можно удалить проги AVZ и HijackThis - они наверное больше не понадобятся и все???
Еще вопрос: файлы и папки, помеченные значком "$", можно смело удалять? Или что это? До установки антивирусной программы их вроде не было...
Последний раз редактировалось Slava0711; 11.11.2006 в 20:58.
-странно... неужели совсем ничего не находит?.. и даже не находит, если искать согласно пунктов 2 и 3 рекомендаций http://virusinfo.info/showthread.php?t=4567?.. разумеется с включённой блокировкой работы RootKit?..
-на всякий случай, попробуйте ещё так: AVZ > закладка Параметры поиска > Блокировать работу RootKit (поставить обе галки User-Mode и Kernel-Mode) > Файл > Выполнить скрипт > скопируйте приведённый ниже скрипт в окно Запуск скрипта и нажмите Запустить
-ну, а по поводу того, "что дальше", пока ничего сказать нельзя, т.к. не выполнено то, что от Вас просили... "файлы и папки, помеченные значком "$"" пока тоже не следует трогать!
Сделал..... Пишет: скрипт выполнен без ощибок.
За сутки окно антивируса пока ни разу не появлялось.
До установки AVZ в каталоге C:\WINDOWS\System32\ был файл samsusrr.dll, сейчас его там нет..... Может AVZ решил мою проблему?...?
Нет, скрипт должен был только скопировать в карантин перечисленные файлы. Но Вы их не прислали. Как - см. в конце Правил.
Просмотрите карантин в AVZ - "Файл - Просмотр карантина" и отправьте запрошенные файлы. Ссылка на Вашу тему (для отправки): http://www.virusinfo.info/showthread.php?t=6726
Мои действия: запускаю AVZ > закладка Параметры поиска > Блокировать работу RootKit (поставлю обе галки User-Mode и Kernel-Mode) > Файл > Выполнить скрипт > копирую приведённый ниже скрипт в окно Запуск скрипта и нажимаю Запустить. Пишет:скрипт выполнен без ощибок .
Просматриваю карантин в AVZ - "Файл - Просмотр карантина" - пусто...
Просматриваю "Файл - Просмотр папки infected" - все, что там есть заархивировал и загрузил, как написано в правилах (Результат загрузки
Файл сохранён как 061112_080058_virus_45571b0a19780.zip
Размер файла 360899
MD5 237771bc342849cb9f2fa78e8fc89b14
Файл закачан, спасибо!).
запускаю AVZ > закладка Параметры поиска > Блокировать работу RootKit (поставлю обе галки User-Mode и Kernel-Mode) > Сервис> Поиск файлов на диске - ищу по всякому (по инструкции) и только на "С" и во всем компьютере - ничего не находит, пусто... (строку поиска видно).
Что еще делать.......
В присланном архиве существенны только
c:\windows\system32\samsusrr.dll
C:\WINDOWS\system32\samsusrr.bak
их надо удалить отложенным удалением из AVZ (с чисткой), если оно еще есть (в смысле еще не удалил KAV).
остальные присланные из карантина KAV - они уже не опасны
К слову - когда ищете файл в AVZ, вводите только имя файла - к примеру, не
C:\WINDOWS\system32\constat.dll
а только constat.dll
К примеру: файл искал в AVZ: C:\WINDOWS\system32\constat.dll и constat.dll и constat*.dll - ничего не нашел.
Прикрепляю вновь сделанные логи. Сам ничего не удалял.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: