Снова W32.Stration@mm

Printable View

17.10.2006, 14:27
fairy

Вложений: 3

Снова W32.Stration@mm

Здравствуйте.
Помогите, если возможно.
Ника не могу победить W32.Stration@mm.
Симантек АнтиВирус ругается, что мол есть такой вирус и удаляет shsvmdim.dll, cfgmmprm.dll, conprf32.dll и confcon.dll, и так постоянно, одни и теже файлы.
Сделал все, что описано в Правилах, логи прилагаютя.
Спсибо.
17.10.2006, 14:47
AndreyKa

Пришлите следующие файлы так, как описано в Приложении 2 Правил:
c:\dfndrff_e14.exe
C:\WINDOWS\system32\uregdeve.dll
w07344ba.*
conmgr32.dll
winvhw32.dll
C:\WINDOWS\system32\mscoriezz.dll
C:\WINDOWS\se_spoof.dll
C:\WINDOWS\system32\atioglxxb.dll
C:\WINDOWS\inetloader.dll
17.10.2006, 15:05
fairy

Из перечисленного вами списка нашел только: dfndrff_e14.exe, se_spoof.dll и inetloader.dll.
Архив выслал.
17.10.2006, 21:33
AndreyKa

c:\dfndrff_e14.exe - TR/Dldr.DollarRev.B (AntiVir)
C:\WINDOWS\se_spoof.dll - Adware.TrustIn (DrWeb)
Удаляйте их c помощью AVZ меню Файл->«Отложенное удаление».
Перезагрузите компьютер.

[url=http://virusinfo.info/showthread.php?t=4491]Пофиксте[/url] в HijackThis следующие строки:
O2 - BHO: ChangerBHO Class - {1D4C7057-EAD2-44C6-AD18-9092905F28F1} - C:\WINDOWS\system32\atioglxxb.dll (file missing)
O2 - BHO: SpoofBHO Class - {385066e0-23f3-11db-a98b-0800200c9a66} - C:\WINDOWS\se_spoof.dll
O2 - BHO: WeeklyExecuter Class - {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} - C:\WINDOWS\inetloader.dll (file missing)
O2 - BHO: Clicker Class - {A97B5EF1-CA64-466F-AC40-F770ED52DB92} - C:\WINDOWS\system32\mscoriezz.dll (file missing)
O4 - HKLM\..\Run: [elge1b74] RUNDLL32.EXE w07344ba.dll,n 004e1b700000000a07344ba
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e14.exe
O20 - AppInit_DLLs: cfgmmprm.dll confcon.dll constat.dll
O20 - Winlogon Notify: conmgr - conmgr32.dll (file missing)
O20 - Winlogon Notify: uregdeve - C:\WINDOWS\system32\uregdeve.dll (file missing)
O20 - Winlogon Notify: winvhw32 - winvhw32.dll (file missing)

Пришлите файл
C:\WINDOWS\local.html
если не знаете что это такое.
18.10.2006, 10:15
fairy

Здравствуйте.
Файлы удалил, строки пофиксил.
Что такое C:\WINDOWS\local.html - не знаю, выслал в архиве.
Спасибо за участие!
18.10.2006, 14:33
AndreyKa

Файл C:\WINDOWS\local.html удаляйте.
Пофиксте в HijackThis строки:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\local.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

В этом файле ссылки на сайт, который маскируется под Google.
18.10.2006, 15:45
fairy

Огромное спасибо!
Сильно рад, что нет больше мерзкой гадости :)
(бъет чечетку в подкованых сапогах на могиле вируса)