advapi32.dll

Здравствуйте! Need help!
Буквально вчера-позавчера Comodo Internet Security (бесплатный официальный Firewall+Antivirus) нашел вирус в файле advapi32.dll

Вот что Comodo пишет:
Name: Unclassified Malware@4240985
Location: C:\Windows\system32\advapi32.dll

Окно с вирусом появляется каждый раз при включении компьютера. То сразу, то не сразу. По-началу я нажимал Quarantine в действиях Comodo, но потом со временем ничего не нажимал, окно пропадает со временем. Файл все равно находится в папке Windows. Я думаю, странно, как это Comodo стал видеть этот вирус? Или он принимает его за вирус? Стоит Firewall с функцией HIPS, где меня предупреждают о возможных атаках и разрешениях процессов системы.

Логи прикрепил.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\ADVAPI32.dll','');
end.[/CODE]

Пришлите карантин...

Здравствуйте! Вчера было уже поздно, потому ничего не стал отправлять. Сейчас выполнил скрипт.
AVZ пишет:

Ошибка карантина файла, попытка пямого чтения (C:\Windows\system32\ADVAPI32.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка пямого чтения (C:\Windows\system32\ADVAPI32.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка пямого чтения (C:\Windows\system32\advapi32.dll)
Карантин с использованием прямого чтения - ошибка
Выполнен карантин файла C:\WINDOWS\system32\advapi32.dll

Папка карантина сегодняшним числом пустая.

Ручками его найдите в этой директории, запакуйте с паролем "virus" и пришлите...

Спасибо. WinRAR пишет: Невозможно открыть advapi32.dll, отказано в доступе.
Скопировать куда-лиюо его тоже нельзя. Остальные .dll из папки копируются.
И кстати из Comodo восстановить его тоже нельзя, нажимая "restore".

Когда я включил Поиск - Найти - Файлы и папки (из меню пуск), то нашелся еще один advapi32.dll На этот раз в папке C:\Windows\ServicePackFiles\i386\advapi32.dll Я его тоже нажал Quarantine. Comodo в этот момент его нашел. У меня стоит SP3 (Официально обновленный через Интернет, сам Windows XP SP1 лицензионый.)

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ADVAPI32.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин если он попадет в него...

Елки-палки, я забыл отключить восстановление системы...
Скрипт выполнился успешно. Карантин создан. Но, Comodo опять находит вирус в system32\advapi32.dll
При попытке заархивировать карантин Comodo пишет, что вирус в avz4\Quarantine\2009-01-30\bcqr00002.dta
Значит AVZ его поймал, но опять же из-за отключенного восстановления системы advapi32.dll появился в system32.
В папке C:\Windows\ServicePackFiles\i386\ advapi32.dll уже нет.

Что мне делать, отключить срочно восстановление системы и повторить последний скрипт ?
Заархивировать именно карантин никак не получается.




Отключил восстановление системы. Скачал новый avz4. Выполнил скрипт, все прошло удачно. Но, заархивировать файл никак не удается. При архивации появляется окно Comodo, в котором указано, что в карантине вирус, как я писал выше. И архивация пишет, что операция невозможна.

Кстати, CureIT и AVPTool ничего плохого не находят. Все чисто.
А advapi32.dll при поиске все же опять находится там же: C:\Windows\system32\advapi32.dll

Отключите комодо и заархивируйте...

Да, спасибо, отключил на время Comodo, и карантин успешно заархивировался.
Карантин выслал, пароль не ставил, так как про него не было сказано в правилах.

Установите пароль virus и пришлите, вы прислали пустой карантин...

Заархивировал карантин через AVZ. Высылаю.
Действительно, по ошибке до этого я прислал вчерашний пустой карантин.

Если делать не через AVZ, а просто rar`ом или zip`ом, то файлы с разрешением .dta (в новом карантине) не архивируются даже при отключенном Comodo. Файлы заблокированы. Нет доступа.

Этот файл чистый, ложняк Comodo...

Ясно, спасибо.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]