W32.Stration.DB@mm

Printable View

16.11.2006, 15:34
Iva

W32.Stration.DB@mm

Народ словил эту бяку и не знаю как избавиться кроме полного формата, излазил пол инета, выполнил все пункты по удалению из инструкции semantec (сам пользуюсь его продукцией) Бесполезно, Symantec детектит [EMAIL="W32.Stration.DB@mm"]W32.Stration.DB@mm[/EMAIL] после залогинивания.
Если кто сталкивался и знает как лечить (любой способ кроме Total Format) поделитесь опытом.
16.11.2006, 15:45
Палыч

Нужно
1) Глубоко вздохнуть, медленно выдохнуть и успокоиться. Мысленно настроиться на спокойную методичную работу.
2) Скрупулёзно и точно выполнить Правила [url]http://virusinfo.info/showthread.php?t=1235[/url]
3) Немного подождать, пока наши эксперты и хэлперы посмотрят Ваши логи и дадут Вам дальнейшие инструкции.
P. S. Никогда не советовать format C: это один из основных принципов нашего форума.
16.11.2006, 15:59
Iva

1) Я спокоен как удав
2) Вечером обязательно выложу логи (Format c: уже запущен (3 суток лечил, читал просто задолбало)) "Слава богу вся сеть заражена"
3)Я не верю, что мне смогут помочь
16.11.2006, 16:01
Iva

Сорри я очень слабо надеюсь, что вы мне можете помочь, (если не веришь фигли тему создавать)
16.11.2006, 16:40
anton_dr

Это вы так шутите? Если да, то не смешно.
16.11.2006, 17:30
Iva

Вложений: 3

Извините пожалуйста просто 3 суток не сна и мучений которые ни к чему не привели очень не располагают к трезвому мышлению.
Выкладываю полученные логи и с нетерпением и смирением жду помощи
Заранее благодарен
Ива
16.11.2006, 17:34
Iva

По логам у меня все чисто (на сколько я правильно их понял, но уже тот факт что в верхней части Браузера (Internet Explorer) от заголовка окна до конца панели адреса все вымощено баночками из под кокаколы и symantec ругался на (название темы) пока я его не снес то Help please Help
16.11.2006, 18:53
AndreyKa

Найдите и пришлите, как описано в Приложении 2 Правил, следующие файлы:
C:\WINDOWS\system32\dssprov.exe
C:\WINDOWS\system32\atkcadpt.dll

[url=http://virusinfo.info/showpost.php?p=64376&postcount=1]Пофиксить[/url] в HijackThis следующие строки:
O4 - HKLM\..\Run: [msserv] C:\WINDOWS\msserv.exe s
O20 - Winlogon Notify: atkcadpt - C:\WINDOWS\system32\atkcadpt.dll
O20 - Winlogon Notify: dssconf - cfgdss.dll (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
16.11.2006, 19:21
Iva

Вот файлы, при копировании файла atkcadpt.dll случайно перенеч его а не скапировал, машина тутже перезагрузилась, а не уго месте в папке system 32 появился такойже файл только уже exe
Drweb на эту dll-ку постоянно ругается но ничего не делает, что бяы я не выбрал
Пофиксил (вылезла надпись на английском и предложила что-то удалить, я нажал yes) сделал так потому, что я хоть весь реестр вынесу, потом винду обновить можно.
16.11.2006, 19:22
Iva

Забыл вложения
16.11.2006, 19:24
Iva

Извините не прочитал ЧТО можно вкладывать
16.11.2006, 20:08
pig

Как присылать запрошенные файлы, написано в Приложении 2. Их надлежит не прикладывать к ответу, а присылать через специальную страницу [url]https://virusinfo.info/upload_virus.php[/url]. И архив закрывать паролем [b]virus[/b].
На будущее - ссылка на эту тему: [url]http://virusinfo.info/showthread.php?t=6793[/url]

P.S. Прошу прощения, сам и напутал. Закачивал под именем files.rar, сообразил, что не перепаковал с паролем, задёргался, и сведения о загрузке не сохранил.

P.P.S. Присланное:
C:\WINDOWS\system32\atkcadpt.dll - Email-Worm.Win32.Warezov.et, он же Win32.HLLM.Limar
Подлежит убиению посредством исполнения скрипта в AVZ:
[code]begin
DeleteFile('C:\WINDOWS\system32\atkcadpt.dll');
end.[/code]
Надеюсь, правильно написал?
16.11.2006, 20:23
Iva

Все сделал, запустил проверку, завтра с утра отпишусь!
А еслиб я его руками шмякнул???
А то както все слишком просто
17.11.2006, 12:22
Shu_b

[QUOTE=pig]P.P.S. Присланное:
C:\WINDOWS\system32\atkcadpt.dll - Email-Worm.Win32.Warezov.et, он же Win32.HLLM.Limar
Подлежит убиению посредством исполнения скрипта в AVZ:
[/QUOTE]
C:\WINDOWS\system32\dssprov.exe - аналогично, Email-Worm.Win32.Warezov
удаляйте оба через AVZ[code]begin
DeleteFile('C:\WINDOWS\system32\atkcadpt.dll');
DeleteFile('C:\WINDOWS\system32\dssprov.exe');
ExecuteSysClean;
RebootWindows(True);
end.[/code]
17.11.2006, 12:43
Iva

Огромное спасибо за помощь комп работает.
Если проблемы возникнут снова создавать новую тему или писать сюдаже???
И последний вопрос, у меня в сети 50 компов, есть-ли метода по удалению этих червей другим способом??? Или мне сождавать 50 тем и присылать 150 лог-файлов (почти все черви по классификации symantec stration)
17.11.2006, 14:09
Alexey P.

Я думаю, самый простой способ - поставить более приличный антивирус или хотя бы использовать бесплатный CureIt.
17.11.2006, 14:28
AndreyKa

[quote]Если проблемы возникнут снова создавать новую тему или писать сюдаже???[/quote]
Для избжания путаницы в одной теме лучше на постить логи с нескольких компьютеров.
[quote]И последний вопрос, у меня в сети 50 компов, есть-ли метода по удалению этих червей другим способом??? Или мне сождавать 50 тем и присылать 150 лог-файлов (почти все черви по классификации symantec stration)[/quote]
Для начала проверить компьютеры свежим CureIt-ом в безопасном режиме.