Опять w32.stration@mm

Printable View

15.10.2006, 16:08
Foxing

Вложений: 3

Опять w32.stration@mm

Проблема аналогична теме
[url]http://virusinfo.info/showthread.php?t=6461[/url],
причем скорость выскакивания нотифаев от Norton Antivirus Corporate Edition все время возрастает, раньше он их помещал в карантин, сейчас почему-то не может.
Сделал, как писал HATTIFNATTOR в вышеупомянутой теме (пост, где guard еще используется), но это не помогло, может, чуть пореже стали вылазить, но я не уверен.
15.10.2006, 17:04
drongo

[LEFT]Для начала найти и прислать :
C:\Program Files\KillSoft\KillCopy\kcresume.exe
C:\WINDOWS\system32\yapconf.exe
C:\WINDOWS\SYSTEM32\conmgr32.dll
C:\WINDOWS\system32\shimgvw.dll
C:\WINDOWS\system32\confcon.dll
C:\WINDOWS\system32\constat.dll
cfgmmprm.dll
realsched.exe[/LEFT]
15.10.2006, 17:21
Foxing

realsched.exe
C:\WINDOWS\system32\constat.dll
C:\WINDOWS\SYSTEM32\conmgr32.dll

вот эти файлы послал, других AVZ не нашел.
15.10.2006, 17:31
drongo

Странно , а другим способом пробавали , например загрузиться из Safe mode ?
15.10.2006, 17:59
Foxing

[QUOTE=drongo]Странно , а другим способом пробавали , например загрузиться из Safe mode ?[/QUOTE]
Послал новый архив, там кроме вышеперечисленных еще файл
C:\WINDOWS\system32\confcon.dll
больше в safe mode найдено не было

Кстати, после действий, описанных в другой теме нотифаи стали появляться все-таки реже, и такое странное чувство, что они выскакивают при запуске какого-нибудь exe-шника.
15.10.2006, 18:08
Foxing

Вообще говоря, файлы
C:\Program Files\KillSoft\KillCopy\kcresume.exe
и
C:\WINDOWS\system32\shimgvw.dll

я нашел вручную, AVZ их не нашел, послать их тоже?

cfgmmprm.dll
и
C:\WINDOWS\system32\yapconf.exe
не находятся вообще.
16.10.2006, 01:08
drongo

Конечно, и на всякий пожарный C:\program files\aws\weatherbug\weatherbug.exe
16.10.2006, 03:22
Foxing

Послал новый архив.

cfgmmprm.dll
и
C:\WINDOWS\system32\yapconf.exe
как не было, так и нет

C:\WINDOWS\SYSTEM32\conmgr32.dll
C:\WINDOWS\system32\confcon.dll
C:\WINDOWS\system32\constat.dll
C:\program files\aws\weatherbug\weatherbug.exe
realsched.exe
в архиве

C:\Program Files\KillSoft\KillCopy\kcresume.exe
и
C:\WINDOWS\system32\shimgvw.dll
AVZ упорно не хочет добавлять в карантин, поэтому в архив добавил их сам

PS
Полный архив - самый последний по времени посылки.
19.10.2006, 01:21
Foxing

Ребят, извините, но проблема сама собой не пропала.
Не подскажете все-таки что делать?
19.10.2006, 01:44
HATTIFNATTOR

confcon.dll не пришел.

AVZ - AVZGuard - включить AVZGuard. Через файл - отложенное удаление файла удалите

C:\program files\aws\weatherbug\weatherbug.exe
C:\WINDOWS\SYSTEM32\conmgr32.dll
C:\WINDOWS\system32\constat.dll, подтвердив удаление ссылок на них в системе.

Перезагрузите компьютер, не выходя из AVZ и не отключая AVZGuard, и повторите лог HjT и лог из п. 10 правил.
19.10.2006, 14:07
Foxing

Вложений: 2

Все сделал, результат такой же, вирусы продолжают вылазить.

А файл weatherbug.exe вообще почему-то не удалился, так же продолжает запускаться при загрузке.
19.10.2006, 18:29
HATTIFNATTOR

AVZ - AVZGuard - включить AVZGuard. Через файл - отложенное удаление файла удалите

C:\WINDOWS\system32\confcon.dll

AVZGuard - запустить приложение как доверенное, - запустите HijackThis и [url=http://virusinfo.info/showthread.php?t=4491]пофиксите[/url] строки

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [egdiag] C:\WINDOWS\system32\yapconf.exe
O15 - Trusted Zone: [url]http://*.exchanger.ru[/url]
O15 - Trusted Zone: [url]http://*.exciter.local[/url]
O15 - Trusted Zone: [url]http://*.icq.com[/url]
O15 - Trusted Zone: [url]http://www.visokos.ru[/url]
O15 - Trusted Zone: [url]http://*.weatherbug.com[/url]
O15 - Trusted Zone: [url]http://*.webmoney.ru[/url]
O15 - Trusted Zone: [url]http://*.wmkeeper.com[/url]
O15 - Trusted Zone: [url]http://*.wmtransfer.com[/url]
O15 - Trusted Zone: [url]http://*.z80.hackers[/url]
O20 - AppInit_DLLs: cfgmmprm.dll confcon.dll constat.dll
O20 - Winlogon Notify: conmgr - conmgr32.dll (file missing)
O20 - Winlogon Notify: uregdeve - C:\WINDOWS\

и , если сами не устанавливали:

O4 - HKCU\..\Run: [WeatherBug] C:\Program Files\AWS\WeatherBug\weatherbug.exe
O9 - Extra button: Poker.com - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\Program Files\Poker.com\poker.exe (HKCU)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

Перезагрузите компьютер, не выходя из AVZ и не отключая AVZGuard, и повторите лог HjT и лог из п. 10 правил

Пришлите
C:\WINDOWS\system32\CmdLineExt03.dll
19.10.2006, 19:16
Foxing

Вложений: 2

Все сделал,

O4 - HKCU\..\Run: [WeatherBug] C:\Program Files\AWS\WeatherBug\weatherbug.exe
O9 - Extra button: Poker.com - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\Program Files\Poker.com\poker.exe (HKCU)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

ставил в свое время сам осмысленно.

Файл прислал.

Пока ни одного нотифая, хотя раньше при загрузке вылазило штук 10-15.