Warezov 8(

[Salma]

Здравствуйте.

Недавно компьютер был заражен Net-червем Warezov. После этого мой Касперский 4.5 периодически стал обнаруживать в Windows\system32 библиотеки которые заражены, например: iasamsre.dll или atkcadpt.dll. Иногда Касперский натыкался на файл iasamsre.exe, который я в папке Windows\system32 даже найти не смог.
Покопался в реестре, но ничего хорошего из этого не вышло.
Использование утилиты CureIt ничего не дало, всмысле в итоге прописывает что ничего не обнаружено.
Попытка лечить вышеназванные файлы была неудачна. Один раз даже попробовал удалить данные файлы, но Касперский сослался на то, что произошла ошибка ввода/вывода, и удалить их отказался. Я переименовал данные библиотеки, после чего их опять нашел Касперский и я, думаю зря, дал команду переименовать их опять.После этого найти я их уже не смог.

Постарался по максимуму описать свои телодвижения с момента заражения.
Вот необходимый файлы:

[drongo]

Попробовать поискать по следуещей инструкции http://virusinfo.info/showthread.php?t=4567
файлы и прислать по правилам , а не присодениять к собщению :

C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
C:\WINDOWS\system32\atkcadpt.dll
cscdll.dll
e1.dll
iasamsre.dll
sclgntfy.dll
wbsys.dll
C:\WINDOWS\wt\webdriver\webdriver.dll
C:\Documents and Settings\Victor\Мои документы\флэшка\Lesson\Lesson0\admin.o

Пофиксить можно сейчас :

Код:

O20 - AppInit_DLLs: wbsys.dll iasamsre.dll e1.dll

O20 - Winlogon Notify: atkcadpt - C:\WINDOWS\system32\atkcadpt.dl


O9 - Extra button: Kill popup - {0A9F8624-4221-4508-9636-69ABD753695A} - C:\Program Files\PopUpBuster\popupbuster.exe (file missing)
O9 - Extra 'Tools' menuitem: Kill popup - {0A9F8624-4221-4508-9636-69ABD753695A} - C:\Program Files\PopUpBuster\popupbuster.exe (file missing)

P.S. Класный у вас лог AVZ получился . интерестно как у вас ещё интеренет работает ?... Надеюсь Олег поможет разобраться или кто-то другой , я пас

[MOCT]

папку C:\WINDOWS\wt\ можете удалить сразу после выполнения предыдущих запросов.

2 helpers: особо понравилась дата создания файлов...

[Alexey P.]

И для ХР sp2 слишком много файлов не опознано по базе безопасных.
Видимо, вирь поработал или патченные они.
Скорее второе - все же explorer.exe, firefox.exe, outpost.exe с нормальными датами и опознаны по базе безопасных.

[Alexey P.]

- В порядке бреда - Salma, а у Вас AVZ Guard не был часом активирован во время исследования системы ? Его без необходимости включать не надо.
- Что-то мешало доступу к системным файлам ?
Ну не может работать интернет с такими ошибкам LSP. Кто-то блокирует обращения AVZ при проверке, видимо.

[Salma]

Вот выложил требуемые файлы, правда странно, некоторые файлы которые я находил в AVZ и добавлял в карантин там не оказывались, также пришлось сделать два архива, тк файлы добавленные в карантин в разные дни у меня почему-то в один архив не влезли, может я что не так сделал , причем второй архив вообще весил около мега и не залился на сайт.

2Alexey P.

а у Вас AVZ Guard не был часом активирован во время исследования системы ?

AVZ Guard не включал

[Палыч]

Salma! Ё-пэ-рэ-сэ-тэ!
Drongo же по-русски написал, что не нужно присоединять запрошенные файлы к этому топику!
Файлы нужно присылать так, как написано в Приложении 2 к Правилам.

[Alex Plutoff]

-в приаттаченном архиве присутствует из запрошенных только C:\Documents and Settings\Victor\Мои документы\флэшка\Lesson\Lesson0\admin.o
-ещё раз внимательно и главное до конца прочитайте инструкцию на http://virusinfo.info/showthread.php?t=4567 и аккуратно выполните её!.. если всё равно не удастся найти запрошенные файлы, то стоит проделать ещё раз всё, что рекомендует инструкция, но с включённой блокировкой работы RootKit (AVZ > закладка Параметры поиска > Блокировать работу RootKit, поставить обе галки и User-Mode и Kernel-Mode)

[anton_dr]

Файл сохранён как 061113_230810_virus_4559412a8a27a.zip
Размер файла 3043
MD5 e660469de8c6961727ec02b5dd623892

[Salma]

Опять попробовал дабавить в карантин указанные drongo файлы, и не все найденные мной из списка там оказались, хотя когда я нажал добавление в карантин avz прописала что они туда были добавлены.

При создании архива virus найденные мной e1.dll и iasamsre.dll туда добавлены не были тк всплывал отказ доступа.

архив файлов, которые я нашел:
Файл сохранён как 061114_045136_virus_455991a8456d1.zip
Размер файла 1103231
MD5 a7e0fd049288369078cfa3e16320b985

[Salma]

Насчет того как можно пофиксить

Пофиксить можно сейчас :
Код:

O20 - AppInit_DLLs: wbsys.dll iasamsre.dll e1.dll O20 - Winlogon Notify: atkcadpt - C:\WINDOWS\system32\atkcadpt.dl O9 - Extra button: Kill popup - {0A9F8624-4221-4508-9636-69ABD753695A} - C:\Program Files\PopUpBuster\popupbuster.exe (file missing) O9 - Extra 'Tools' menuitem: Kill popup - {0A9F8624-4221-4508-9636-69ABD753695A} - C:\Program Files\PopUpBuster\popupbuster.exe (file missing)

и с помощью чего так и не разобрался

[Палыч]

Как пофиксить и с помощью чего -- http://virusinfo.info/showthread.php?t=4491

[MOCT]

в присланных файлах, кроме WildTangent, которого я уже рекомендовал удалить, ничего интересного нет.

[Salma]

На данный момент выполнил рекомендации, которые смог осуществить и решил снова проверить систему с помощью AVZ и HiJackThis.
Вот они:

[MOCT]

пофиксите с помощью HijackThis:
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

выполните скрипт в AVZ:

Код:

begin
  DeleteFile('C:\WINDOWS\system32\e1.dll');
end.

update: немного погорячился. начните с удаления одного файла.