Printable View
На компутере объявился новый антивирус, называется WinAntiVir Pro 2006.
После сканирования в безопасном режиме, (вполне возможно, что был установлен DrWeb, но базы не обновлялись несколько месяцев) такую вот картину показал АВЗ при сканировании в безопасном режиме.
Присылайте:
[code]C:\Program Files\ToolBar888\MyToolBar.dll
C:\WINNT\system32\qommmkh.dll
C:\WINNT\system32\awvtr.dll
C:\Program Files\Deskbar\deskbar.dll (если вдруг остался)
C:\WINNT\system32\4.tmp[/code]
И всю папку: C:\Program Files\WinAntiVirus Pro 2006\
Можно и C:\Program Files\ToolBar888\ тоже целиком
Лишние записи в HOSTS прибейте.
[QUOTE=pig]Присылайте:
[code]C:\Program Files\ToolBar888\MyToolBar.dll
C:\WINNT\system32\qommmkh.dll
C:\WINNT\system32\awvtr.dll
C:\Program Files\Deskbar\deskbar.dll (если вдруг остался)
C:\WINNT\system32\4.tmp[/code]
И всю папку: C:\Program Files\WinAntiVirus Pro 2006\
Можно и C:\Program Files\ToolBar888\ тоже целиком
Лишние записи в HOSTS прибейте.[/QUOTE]
Папочки toolbar888, deskbar, WinAntiVir Pro 2006 заархивировал, еще кучу файлов, с hosts все понятно, нету ли какого нового зверья? После проверки и удаления части вирусов в АВЗ, сейчас сканирую DrWeb-ом... интересно ведут себя qommmkh.dll и awvtr.dll, если в АВЗ прибить один из ключей, сразу же появляется новая запись с другим ключом, и это в безопасном режиме. (Забавно, что первый из указанных dll после убиения в автозагрузке через АВЗ снова восстанавливается, как будто бы галочка не исчезала.) Файлы выслал, после сканирования DrWeb сделаю новый syscheck.
Технология мочения восстанавливающихся гадов через поражение в правах на ключи реестра достаточно хорошо описана. Хотя, по идее, и AVZ Guard должен справиться. Подождём, что исследователи насчёт файлов скажут.
отправил на [email][email protected][/email] архивы с указанными папками. Все указанные Вами файлы - вредоносные программы по определению virustotal.com
Результаты проверки сохранили? Если приведёте здесь, так и лечение можно быстрее назначить. И проверять повторно всю кучу малу не надо.
[QUOTE=pig]Результаты проверки сохранили? Если приведёте здесь, так и лечение можно быстрее назначить. И проверять повторно всю кучу малу не надо.[/QUOTE]
t.tmp - DrWeb 4.33 09.06.2006 Trojan.Proxy.975
qommmkh.dll - DrWeb 4.33 09.06.2006 Trojan.Virtumod
awvtr.dll eTrust-Vet 30.3.3063 09.05.2006 Win32/Vundo
deskbar.dll -Kaspersky 4.0.2.24 09.06.2006 not-a-virus:AdWare.Win32.Softomate.r
mytoolbar - NOD32 Win32\Adware.softtomate
Wapchk.dll (из папки WinAntiVir Pro) - AntiVir 7.1.1.11 09.06.2006 ADSPY/Companion.A.1
Сначала на всякий случай почитайте [url=http://z-oleg.com/secur/advice/adv1103.php]этот совет[/url]. Запомните, что делать. А то мне не очень нравится, что там Process Debug Manager в памяти болтается. Не к добру это.
Потом попробуем стандартный путь:
1. Загрузить AVZ
2. Включить AVZ Guard
3. Упомянутые файлы поставить на отложенное удаление
4. Перезагрузиться, не выключая AVZ Guard
И делайте новые логи.
[QUOTE=pig]Сначала на всякий случай почитайте [url=http://z-oleg.com/secur/advice/adv1103.php]этот совет[/url]. Запомните, что делать. А то мне не очень нравится, что там Process Debug Manager в памяти болтается. Не к добру это.
Потом попробуем стандартный путь:
1. Загрузить AVZ
2. Включить AVZ Guard
3. Упомянутые файлы поставить на отложенное удаление
4. Перезагрузиться, не выключая AVZ Guard
И делайте новые логи.[/QUOTE]
Хорошо! Спасибо, за помощь, теперь только завтра посмотрю. Вирусни было много, чистил еще НОДом как присоединенный диск(то что осталось после сканирования DrWeb), после загрузился, посмотрел в АВЗ список процессов, автозагрузку, но может быть что-то просмотрел или просто не знаю. Комп стоял на отшибе и происоединялся к сетке по VPN, то ли кто-то отключил DrWeb, то ли его снес WAV Pro.
-----
похоже awvtr.dll выжил, или я еще не удалял его из системы.
DM довольно часто встречается на машинах, отключил как службу.Awvtr.dll удалил через отложенные удаление, используя AVZGuard. Спасибо за помощь! Прилагаю новые логи после удаления.
Кажись, задавили. А RAdmin какой версии? Через него пробить не могли?
И ещё: заплатки на систему все поставлены?
[QUOTE=pig]Кажись, задавили. А RAdmin какой версии? Через него пробить не могли?
И ещё: заплатки на систему все поставлены?[/QUOTE]
Обычно ставлю 2.2, но разные версии встречаются. На 2000 апгрейдим до SP4, т.е. только сервиспаки.
SP4 - это "маловато будет" (c) Список дыр - тихий ужас.
[QUOTE=pig]SP4 - это "маловато будет" (c) Список дыр - тихий ужас.[/QUOTE]
Еще RollUp обязательно ставим после SP4. Из браузеров - firefox обновляем.
А почему не все заплатки? Или по траффику проблема?
[QUOTE=ALEX(XX)]А почему не все заплатки? Или по траффику проблема?[/QUOTE]
Нет, траффик нипричем. Практика такая здесь, ставить только комплексные SP. (В августе был в Киеве. Киев - красивый город.)
А может есть смысл на одной машине развернуть WSUS? (офф. Раньше Киев был лучше. но всё равно красиво)
[QUOTE=ALEX(XX)]А может есть смысл на одной машине развернуть WSUS? (офф. Раньше Киев был лучше. но всё равно красиво)[/QUOTE]
Что такое WSUS? Не знаю.
[QUOTE=santy]Что такое WSUS? Не знаю.[/QUOTE]
Вкратце:" Службы WSUS (Windows Server Update Services) позволяют системным администраторам развертывать новейшие обновления продуктов корпорации Майкрософт на компьютерах сети, работающих под управлением операционных систем Microsoft Windows Server 2003, Windows 2000 Server и Windows XP." [B][URL="http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/wsus.mspx"]WSUS[/URL][/B]