При загрузке компа стал отключаться антивирус и farewall Panda, а также антивирус не обновлялся. Так как это один из признаков наличия вируса, то решил обратиться к вам.
Printable View
При загрузке компа стал отключаться антивирус и farewall Panda, а также антивирус не обновлялся. Так как это один из признаков наличия вируса, то решил обратиться к вам.
да, это Warezov.
пофиксите с помощью HijackThis:
O4 - HKLM\..\Run: [audiag] C:\WINDOWS\system32\audconf.exe
O4 - HKLM\..\Run: [dssdiag] C:\WINDOWS\system32\dssconf.exe
O20 - Winlogon Notify: atkcadpt - C:\WINDOWS\system32\atkcadpt.dll
O20 - Winlogon Notify: audmgr - C:\WINDOWS\SYSTEM32\audmgr32.dll
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: dssconf - C:\WINDOWS\SYSTEM32\cfgdss.dll
пришлите на исследование по правилам форума:
C:\Program Files\MediaKey\MagicRun.exe
C:\WINDOWS\system32\atkcadpt.dll
C:\WINDOWS\SYSTEM32\audmgr32.dll
C:\WINDOWS\SYSTEM32\avldr.dll
C:\WINDOWS\SYSTEM32\cfgdss.dll
c:\windows\system32\atkcadpt.exe
c:\windows\system32\dssconf.exe
C:\WINDOWS\system32\audstat.dll
C:\WINDOWS\System32\confaud.dll
C:\WINDOWS\system32\dssprf32.dll
C:\WINDOWS\System32\e1.dll
C:\WINDOWS\System32\glu3panm.dll
C:\WINDOWS\system32\iasamsre.dll
C:\WINDOWS\system32\statdss.dll
файл отправил
[QUOTE][SIZE=2]Файл сохранён как[/SIZE][SIZE=2]061114_143644_virus_455a1accae6cb.zip[/SIZE][SIZE=2]Размер файла[/SIZE][SIZE=2]837341[/SIZE][SIZE=2]MD5[/SIZE][SIZE=2]2c693120f5e00bf731727eea8380c233[/SIZE][/QUOTE]
только файл C:\Program Files\MediaKey\MagicRun.exe не получилось с помощью AVZ заархивировать, но эта пограмма используется для клавиатуры (управления мультимедийными кнопками)
файлы
C:\WINDOWS\system32\atkcadpt.dll
C:\WINDOWS\SYSTEM32\audmgr32.dll
C:\WINDOWS\SYSTEM32\avldr.dll
C:\WINDOWS\SYSTEM32\cfgdss.dll
c:\windows\system32\atkcadpt.exe
c:\windows\system32\dssconf.exe
C:\WINDOWS\system32\audstat.dll
C:\WINDOWS\System32\confaud.dll
C:\WINDOWS\system32\dssprf32.dll
C:\WINDOWS\System32\e1.dll
C:\WINDOWS\System32\glu3panm.dll
C:\WINDOWS\system32\iasamsre.dll
C:\WINDOWS\system32\statdss.dll
нужно удалить с помощью отложенного удаления в AVZ (с эвристической чисткой).
после перезагрузки системы сделайте и выложите новые логи.
файлы удалил.
новые логи:
судя по тому, что антивирус "пошел обновляться", компик избавлен от этой заразы.
ещё живут -
C:\WINDOWS\SYSTEM32\audmgr32.dll
C:\WINDOWS\system32\audstat.dll
C:\WINDOWS\System32\confaud.dll
C:\WINDOWS\System32\diagdss.dll
[QUOTE=MOCT]пофиксите с помощью HijackThis:
O20 - AppInit_DLLs: e1.dll confaud.dll audstat.dll iasamsre.dll diagdss.dll statdss.dll
O20 - Winlogon Notify: atkcadpt - C:\WINDOWS\system32\atkcadpt.dll
O20 - Winlogon Notify: audmgr - C:\WINDOWS\SYSTEM32\audmgr32.dll
O20 - Winlogon Notify: dssconf - C:\WINDOWS\SYSTEM32\cfgdss.dll
[/QUOTE]
нужно пофиксить
Да рано обрадовался. И так по порядку.
1. После того как удалил файлы:
C:\WINDOWS\system32\atkcadpt.dll
C:\WINDOWS\SYSTEM32\audmgr32.dll
C:\WINDOWS\SYSTEM32\avldr.dll
C:\WINDOWS\SYSTEM32\cfgdss.dll
c:\windows\system32\atkcadpt.exe
c:\windows\system32\dssconf.exe
C:\WINDOWS\system32\audstat.dll
C:\WINDOWS\System32\confaud.dll
C:\WINDOWS\system32\dssprf32.dll
C:\WINDOWS\System32\e1.dll
C:\WINDOWS\System32\glu3panm.dll
C:\WINDOWS\system32\iasamsre.dll
C:\WINDOWS\system32\statdss.dll
было сделаны и выложены новые логи. Затем антивирус "ушел" на обновление, после обновления выдал сообщение, суть которого сводится к тому, что неполохо установить критические обновления для windows.
2 Установились критические обновления. Потребовалась перегрузка.
3 Перед перегрузкой было включено восстановление системы.
4 После перегрузки панда выдала следующие сообщения:
Обнаружен вирус: W32/Spamta.LB.worm Антивирусная защита 11/15/06 09:52:47 Дезинфицировано Путь: c:\windows\system32\audprf32.dll
Обнаружен вирус: W32/Spamta.LC.worm Антивирусная защита 11/15/06 09:51:37 Дезинфицировано Путь: c:\windows\system32\audmgr32.dll
Обнаружена рекламная программа: adwa... Антивирусная проверка по з... 11/15/06 09:12:31 Извещение Путь: C:\WINDOWS\SYSTEM32\AdCache
Обнаружен вирус: W32/Spamta.LB.worm Антивирусная проверка по з... 11/15/06 09:12:27 Дезинфицировано Путь: C:\WINDOWS\system32\confaud.dll
Обнаружен вирус: W32/Spamta.LB.worm Антивирусная проверка по з... 11/15/06 09:12:27 Дезинфицировано Путь: C:\WINDOWS\system32\audstat.dll
Обнаружен вирус: W32/Spamta.LK.worm Антивирусная проверка по з... 11/15/06 09:12:17 Дезинфицировано Путь: C:\WINDOWS\SYSTEM32\AUDCONF.EXE
Обнаружен вирус: W32/Spamta.LB.worm Антивирусная защита 11/15/06 09:11:54 Дезинфицировано Путь: c:\windows\system32\confaud.dll
5 антивирус не включился, понял что вирус остался
6 сейчас увидел сообщение от Shu_b - пофиксил.
логи на данный момент:
выполните в AVZ скрипт:
[code]
begin
QuarantineFile('C:\WINDOWS\System32\diagdss.dll','');
QuarantineFile('C:\WINDOWS\msserrv32.exe','');
DeleteFile('C:\WINDOWS\System32\diagdss.dll');
DeleteFile('C:\WINDOWS\msserrv32.exe');
end.
[/code]
выполнил
ну и пришлите то, что было добавлено в карантин (должно быть 2 файла)
пардон :), вечер однако
[quote]
[SIZE=2]Файл сохранён как [/SIZE][SIZE=2]061115_135422_virus_455b625e61cff.zip[/SIZE][SIZE=2]
Размер файла [/SIZE][SIZE=2]602708[/SIZE][SIZE=2]
MD 5[/SIZE][SIZE=2]db84a99840414fd39267d19b3046ebef[/SIZE]
[/quote]
надеюсь, что теперь компьютер исцелен
антивирус не грузится (при включении компа, возможно необходимо его переустановить), но обновляется.
по последним логам - наверно вылечен. Спасибо Вам.
Осталось очистить файл HOSTS (блокнотом находится там - %SystemRoot%\system32\drivers\etc вставить в пуск-выполнить)
оставив в нём:
[CODE]127.0.0.1 localhost[/CODE]
Все сделал. Все работает. Спасибо. Что с меня? :)
На выбор:
[url]http://virusinfo.info/showthread.php?t=1739[/url]
[url]http://virusinfo.info/showthread.php?t=3519[/url]
перевел немного, на Webmoney