wowfx.dll

Printable View

04.09.2008, 18:14
Adamant

Вложений: 3

wowfx.dll

Здравствуйте.
У меня стояли OutpostFireWall, NOD32 недавно поставил Avira. Авира стала регулярно находить те или иные вирусы, которые мал-помалу лечила (в т.ч. в папке SistemVolumeInformation).

Сегодня при загрузке выползло сообщение об обнаружении вируса в файле wowfx.dll в папке windows\system32. Все попытки удалить, вылечить, переместить или переименовать файл ни к чему не приводили. Сообщения от Авиры выскакивали каждую секунду, если их не закрывать, вскоре они заполоняли всю панель задач. Со второй перезагрузкой они начали всплывать ещё быстрее.

Сделал все по схеме, предложенной вами, за одним исключением - проверка доктором Вебом не удалась в безопасном режиме - он почему-то перестал запускаться, в т.ч. и с использованием предложенного вами скрипта.

Из прочего хочу отметить (может это важно), что при загрузке и выключении Windows Аутпост регулярно выводит сообщения о "предотвращении попытки изменения файлов".
04.09.2008, 19:51
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS1\rvoelbxt.exe','');
QuarantineFile('D:\Documents and Settings\Александр.HOUSE\Local Settings\Temporary Internet Files\Content.IE5\GEIQ4ZQB\19.5691[1].exe','');
QuarantineFile('D:\Documents and Settings\Александр.HOUSE\Шаблоны\Brengkolang.com','');
QuarantineFile('D:\WINDOWS1\system32\msxml71.dll','');
DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}');
DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}');
QuarantineFile('D:\Program Files\altcmd\altcmd32.dll','');
DelBHO('{2A8D06B4-1B40-009F-E531-629A59080F43}');
DelBHO('{261A9F46-B1AE-4D22-A852-9B47CCC28678}');
QuarantineFile('D:\WINDOWS1\system32\asycfil.dll','');
QuarantineFile('D:\WINDOWS1\system32\wowfx.dll','');
QuarantineFile('D:\WINDOWS1\rqbmvpso.dll','');
DeleteFile('D:\WINDOWS1\rqbmvpso.dll');
DeleteFile('D:\WINDOWS1\system32\wowfx.dll');
DeleteFile('D:\WINDOWS1\system32\asycfil.dll');
DeleteFile('D:\Program Files\altcmd\altcmd32.dll');
DeleteFile('D:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL');
DeleteFile('D:\WINDOWS1\system32\msxml71.dll');
DeleteFile('D:\Documents and Settings\Александр.HOUSE\Шаблоны\Brengkolang.com');
DeleteFile('D:\Documents and Settings\Александр.HOUSE\Local Settings\Temporary Internet Files\Content.IE5\GEIQ4ZQB\19.5691[1].exe');
DeleteFile('D:\WINDOWS1\rvoelbxt.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.
[/code]
удалите задания в планировщике ...
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
04.09.2008, 20:56
Adamant

Вложений: 3

Скрипт выполнился, 3 файла ушло в карантин. Там было ещё 2 с проверки, архив выложил согласно правилам, написали - мол, всё ок.

В планировщике удалил одну задачу, которая называлась At1 вроде. Прикладываю новые логи.

При запуске Windows по-прежнему вылезает сообщение OutPost о предотвращении попытки изменения файлов и что-то, связанное с kernel.
И ещё я пока тут читаю о всех этих вирусах и kit-ах, помню, один из тех, что лечила Авира назывался Podnuha. Правильно ли я понимаю, что это конкретная атака на мой компьютер, а не безликий вирус, или нет?

Спасибо за работу и ответы!
04.09.2008, 21:03
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS1\system32\alderlcm.dll','');
DelBHO('{26027218-80B3-40FA-9FA1-70FD56AA5328}');
QuarantineFile('D:\WINDOWS1\rodqgpvldbv.dll','');
DeleteFile('D:\WINDOWS1\rodqgpvldbv.dll');
DeleteFile('wowfx.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
04.09.2008, 21:41
Adamant

Вложений: 3

Скрипт выполнил, карантин прислал, прикладываю логи.
Что странно - после всех процедур и включения Аутпоста, он выводит сообщения о "попытке изменения его файлов, которая предотвращена" после запуска любой проги - антивирусника, оперы и т.д.
04.09.2008, 21:48
V_Bond

пофиксите ...
[code]
O21 - SSODL: pdoskegl - {3432E5F7-EA73-4EA0-95F7-072146896ED0} - (no file)
[/code]
кто у вас антивирусом работает ?
04.09.2008, 22:59
Adamant

Пофиксил, вроде пока всё нормально. Антивирусником работает Авира АнтиВир Премиум, ежедневные обновления.
04.09.2008, 23:01
V_Bond

Ad-Aware и nod тогда деинсталируйте они лишние ...
04.09.2008, 23:03
Rene-gad

А вот Сервис Пак 3 поставьте, возможно потребуется активация системы.
04.09.2008, 23:17
Adamant

Хорошо! Спасибо огромное за помощь!
22.02.2009, 07:44
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\documents and settings\\александр.house\\local settings\\temporary internet files\\content.ie5\\geiq4zqb\\19.5691[1].exe - [B]Trojan.Win32.Small.xtm[/B] (DrWEB: Trojan.DownLoad.4266)[*] d:\\program files\\altcmd\\altcmd32.dll - [B]Trojan.Win32.BHO.gok[/B] (DrWEB: Trojan.DownLoad.4585)[*] d:\\windows1\\rodqgpvldbv.dll - [B]Trojan.Win32.Agent.acmi[/B] (DrWEB: Trojan.Popuper.7466)[*] d:\\windows1\\rqbmvpso.dll - [B]Trojan.Win32.Vapsup.kya[/B] (DrWEB: Trojan.Popuper.7464)[*] d:\\windows1\\rvoelbxt.exe - [B]Trojan.Win32.Vapsup.laa[/B] (DrWEB: Trojan.Popuper.7465)[*] d:\\windows1\\system32\\wowfx.dll - [B]Trojan.Win32.Pakes.kgg[/B][/LIST][/LIST]