Мучался с Варезовым, при скане оказалось, что ещё какие-то подозрения есть..)
Антивирус был Каспер, пару дней назад avast! установил.
Необходимые файлы прикрепляю, надеюсь, хоть вы сможете чем-то помочь..)
Заранее благодарен..: )
Printable View
Мучался с Варезовым, при скане оказалось, что ещё какие-то подозрения есть..)
Антивирус был Каспер, пару дней назад avast! установил.
Необходимые файлы прикрепляю, надеюсь, хоть вы сможете чем-то помочь..)
Заранее благодарен..: )
Куски от warezov еще живы. Поищите и пришлите согласно правилам для анализа файлы:
c:\windows\stm.exe
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\system32\vgnb4c.dll
C:\WINDOWS\stm.exe
C:\WINDOWS\msupdtwiz.exe
C:\WINDOWS\system32\samsusrr.dll
wbsys.dll
audmgr32.dll
alrsbatt.dll
audstat.dll
brwmgr32.dll
brwstat.dll
confaud.dll
confbrw.dll
C:\WINDOWS\DOWNLO~1\Install.dll
Часть из них скорее всего удалил AVZ - в логе есть информация о детекте и попытке удаления файлов.
Прислал.
Ещё при проверке avast!'ом обнаруживались файлы
[FONT=Courier New]C:\WINDOWS\system32\vgnb4c.dll [L] Win32:Warezov-LE [Wrm] (0)[/FONT]
[FONT=Courier New]C:\WINDOWS\system32\hffh6k.dll [L] Win32:Warezov-LE [Wrm] (0)[/FONT]
[FONT=Courier New]C:\WINDOWS\system32\uag64n.exe [L] Win32:Warezov-LE [Wrm] (0)[/FONT]
[FONT=Courier New]C:\WINDOWS\system32\vgnb4c.dll [L] Win32:Warezov-LE [Wrm] (0)[/FONT]
[FONT=Courier New]C:\WINDOWS\system32\hffh6k.dll [L] Win32:Warezov-LE [Wrm] (0)[/FONT]
Если ещё остались - присылайте.
Всё так же, "Согласно правилам"?)
Не добавляются они в карантин, видимо, не видит из AVZ.
похоже, только аваст их и видит..
Ещё хотелось бы поинтересоваться, как аваст как антивирус?
Установил по совету знакомого, хотелось бы услышать более объективную информацию.
Отдельно C:\WINDOWS\system32\vgnb4c.dll послал, потом обнаружил, что в предыдущей "посылке" он присутствовал.
Прошу прощения за лишнюю копию.
vgnb4c.dll - Email-Worm.Win32.Warezov.cu, он детектируется AVZ с последней базой
e1.dll, stm.exe - Warezow
popcaploader.dll- загружалка AdWare
Перечисленные файлы нужно удалить
Спасибо, не подскажете, как это сделать?)
1. AVZ - Файл - Выполнить скрипт:
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\stm.exe');
DeleteFile('C:\WINDOWS\system32\e1.dll');
DeleteFile('C:\WINDOWS\system32\vgnb4c.dll');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
2. Пофиксить:
[code]O4 - HKLM\..\Run: [msupdtwiz] C:\WINDOWS\msupdtwiz.exe s
O4 - HKLM\..\Run: [chater.exe] C:\WINDOWS\stm.exe s
O13 - DefaultPrefix: http://htpp.ws?
O13 - WWW Prefix: http://htpp.ws?
O13 - Home Prefix: http://webwarper.net/clicklog.pl/AUTODL~~/~av/
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)
O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)
O20 - Winlogon Notify: samsusrr - C:\WINDOWS\system32\samsusrr.dll (file missing)
O20 - Winlogon Notify: zlcocard - C:\WINDOWS\[/code]
3. Через редактор реестра (см. ключ HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Windows) или через менеджер автозапуска AVZ зачистить AppInit_DLLs - там должна остаться только NVDESK32.DLL
4. Ещё раз перезагрузиться и сделать новые логи.
"O4 - HKLM\..\Run: [chater.exe] C:\WINDOWS\stm.exe s"
Не наблюдаю данную строку.
Значит, AVZ зачистила.
И ещё, можно по поводу 3-его пункта поподробнее)
Уж извините, далёк я от этого..(
Сделаем так. Этот текст:
[code]Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="NVDESK32.DLL"
[/code]
вставьте в Блокнот и сохраните под именем "appinit.reg" (имя так и набирайте в кавычках, чтобы Блокнот своё расширение не накрутил). Затем два щелчка мышкой по файлу и подтвердите внесение изменений.
При попытке пофиксить ошибку какую-то выводит.
Но при следующем скане этой строки нет.
Это нормально?)
См. выше, я другой ход придумал.
Сделал)
переходить к 4-ому пункту?)
Да.
Час сидел, нажимал "F5", чтобы услышать ответ "да")))
Извиняюсь, мысли вслух)
Вот эти логи?)
При перезагрузке антивирус ничего не нашёл, проблема решена?)
О, похудели файлики по сравнению с 1-ым постом))
Вроде чисто. Выполните ещё такой скрипт:
[code]begin
QuarantineFile('C:\Program Files\AlienGUIse\WBlind.dll','');
QuarantineFile('C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\LGMOUSHK.dll','');
end.[/code]
Карантин пришлите. Можно через [url]http://virusinfo.info/index.php?page=upload_clean[/url], это в базу безопасных.
А, виноват, проглядел. Пофиксите:
[code]O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)[/code]
Новых логов не надо, это старый мусор.