Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 40.

Win32.HLLW.Gavir (заявка № 8367)

  1. #1
    Junior Member Репутация
    Регистрация
    12.03.2007
    Сообщений
    20
    Вес репутации
    36

    Exclamation Win32.HLLW.Gavir

    У меня 2 компа,каждый день Spider Guard находит где то по 500 файлов,зараженных этим Win32.HLLW.Gavir. Оба компа отключаю от инета и от локалки,все проверяю вебом,все лечится,при повторной проверке вирусы не находятся,но с утра опять начинается тоже самое!!!
    На первом компе он появляется только в папках с открытым доступом по сети,а на втором и в закрытых.Сеть только из двух компов.Если сразу после лечения, не подключаясь к сети, сделать перезагрузку,то вирусы не найдутся,но с утра опять появятся.Вроде все.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Пофиксте в HijackThis следующие строки:
    O20 - AppInit_DLLs: encddpva.dll e1.dll
    O20 - Winlogon Notify: dxdimqtr - C:\WINDOWS\system32\dxdimqtr.dll (file missing)
    Эти логи с какого компьютера?
    Интересуют логи с того, где Gavir появляется без подключения к сети.

    Службу восстановления системы отключали?

  4. #3
    Junior Member Репутация
    Регистрация
    12.03.2007
    Сообщений
    20
    Вес репутации
    36
    Пофиксил,должно помочь?Результат напишу завтра.Да,это логи с компьютера,где Gavir появляется без подключения к сети. Службу восстановления системы отключал,как учили

  5. #4
    Junior Member Репутация
    Регистрация
    12.03.2007
    Сообщений
    20
    Вес репутации
    36
    Все равно появился сегодня с утра этот gavir,что с ним делать-то?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Цитата Сообщение от laks Посмотреть сообщение
    Все равно появился сегодня с утра этот gavir,что с ним делать-то?
    Пароль на учетную запись администратора ставить.
    Цитата из описания Win32.HLLW.Gavir:
    Сканирует все локальные и сетевые диски, ресурсы общего доступа, ищет *.exe файлы и заражает их. Ищет в сети активные машины и пробует подключится к ним как администратор с пустым паролем или с правами текущего пользователя. В случае успеха создает свою копию на целевой машине и удаленно запускает ее.

  7. #6
    Junior Member Репутация
    Регистрация
    12.03.2007
    Сообщений
    20
    Вес репутации
    36
    Там на всех учетных записях,включая администратора,стоят нормальные пароли,уч.записей без паролей нет(на обоих компах)

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    В AVZ выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\dxdimqtr.dll');
     DeleteFile('e1.dll');
     DeleteFile('encddpva.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки сделайте новые логи.

  9. #8
    Junior Member Репутация
    Регистрация
    12.03.2007
    Сообщений
    20
    Вес репутации
    36
    Вот новые логи после выполнения скрипта.Заранее большое спасибо за помощь.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Почти девственно чисто

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Очевидно, источник заразы очищен.
    Если не сложно, сделайте логи со второго компьютера.

  12. #11
    Junior Member Репутация
    Регистрация
    12.03.2007
    Сообщений
    20
    Вес репутации
    36
    Хорошо,сегодня со второго компьютера вечером выложу логи,потому что сегодня вирус все равно появился на обоих компах! Видимо дело не только в первом компе.

  13. #12
    Geser
    Guest
    Пока вирус не удалён компютеры нельзя подключать в сеть. Потому что не понятно откуда он берётся

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от laks Посмотреть сообщение
    Хорошо,сегодня со второго компьютера вечером выложу логи,потому что сегодня вирус все равно появился на обоих компах! Видимо дело не только в первом компе.
    Упс! Мне следовало предупредить Вас об отключении от локалки на время лечения... Что ж, придется начинать снова. Ждем логов.

  15. #14
    Junior Member Репутация
    Регистрация
    12.03.2007
    Сообщений
    20
    Вес репутации
    36
    Вот логи со второго компа. Локалку я отключал только во время проверки компов.Отключать их от сети на длительное время нельзя,т.к. вся работа встанет А за один вечер,наверное,все не успеть...Только если в выходные.Вы можете мне помочь в выходные?
    Вложения Вложения

  16. #15
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('mididpnh.dll','');
     QuarantineFile('e1.dll','');
     QuarantineFile('confbrw.dll','');
     QuarantineFile('brwstat.dll','');
     QuarantineFile('brwmgr32.dll','');
     QuarantineFile('C:\WINDOWS\system32\sbeddem.dll','');
    RebootWindows(true);
    end.
    После перезагрузки "пофиксите" в HijackThis
    Код:
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
    O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
    O20 - AppInit_DLLs:  mididpnh.dll e1.dll confbrw.dll brwstat.dll
    O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)
    Пришлите файлы карантина по правилам раздела. Повторите логи virusinfo_syscure.zip и hijackthis.log.

    У нас выходных нет
    Последний раз редактировалось Макcим; 15.03.2007 в 19:42.

  17. #16
    Junior Member Репутация
    Регистрация
    12.03.2007
    Сообщений
    20
    Вес репутации
    36
    Все сделал,в карантине ничего нет.А что нет выходных,это хоорошо!(для меня,по-крайней мере) Но сервис,конечно,клевый. Неужели он весь на чистом энтузиазме?
    Вложения Вложения

  18. #17
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Сейчас буду смотреть логи.
    Позволю себе не много оффтопа. Я не буду говорить за всех, но для меня не нужны деньги. Я работаю для души. Я хочу делать людям добро. Это для меня важнее всего. Вы тоже можете нам помочь, если будите своим друзьям и знакомым рекомендовать наш сервис. От посещаемости сайта будет зависеть его судьба. Хостинг сайта окупается за счет размещения баннеров. Чем больше посещаемости, тем больше форум получит средств на хостинг.

    В логах есть только одна строчка, которая у меня вызывает сомнения.
    Код:
    C:\WINDOWS\system32\sbeddem.dll
    Ни чего не делайте с этим файлом. Я пока ещё недостаточно опытный и поэтому прошу своих коллег посмотреть Ваши логи. Кроме неё у меня быльше ни чего подозрений не вызывает.
    Последний раз редактировалось Макcим; 15.03.2007 в 21:11.

  19. #18
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Всё в порядке. Этот файл оказался вредоносным. Прошу прощения за путаницу. Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\sbeddem.dll');
     BC_ImportDeletedList;
     ExecuteSysClean; 
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки "пофиксите" в HijackThis
    Код:
    O20 - Winlogon Notify: sbeddem - C:\WINDOWS\system32\sbeddem.dll (file missing)
    "Выложите" файл 'bclr.log' из папки AVZ.

  20. #19
    Junior Member Репутация
    Регистрация
    12.03.2007
    Сообщений
    20
    Вес репутации
    36
    После перезагрузки "пофиксите" в HijackThis
    Код:
    O20 - Winlogon Notify: sbeddem - C:\WINDOWS\system32\sbeddem.dll (file missing)
    Такой строчки не появляется в HijackThis,,появляется только
    O20 - Winlogon Notify: sbeddem - C:\WINDOWS\
    Все равно фиксить?
    Вложения Вложения

  21. #20
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Да, пофиксите.
    После этого можно считать, что все чисто

  • Уважаемый(ая) laks, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Win32.HLLW.Gavir.ini
      От Дракон в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.10.2010, 10:55
    2. Win32.HLLW.Autohit.3438 и Win32.HLLW.Gavir.ini
      От parus в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.03.2009, 14:13
    3. Win32.HLLW.Gavir.ini
      От Vagon в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 12.11.2008, 09:52
    4. DrWeb - CureIT: Win32 HLLW.Gavir.ini
      От Winsent в разделе Ложные срабатывания
      Ответов: 2
      Последнее сообщение: 10.08.2007, 23:33
    5. Win32.HLLW.Gavir
      От Shu_b в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 11.12.2006, 18:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00166 seconds with 23 queries