Win32.HLLW.Gavir

У меня 2 компа,каждый день Spider Guard находит где то по 500 файлов,зараженных этим Win32.HLLW.Gavir. Оба компа отключаю от инета и от локалки,все проверяю вебом,все лечится,при повторной проверке вирусы не находятся,но с утра опять начинается тоже самое!!!
На первом компе он появляется только в папках с открытым доступом по сети,а на втором и в закрытых.Сеть только из двух компов.Если сразу после лечения, не подключаясь к сети, сделать перезагрузку,то вирусы не найдутся,но с утра опять появятся.Вроде все.

[url=http://virusinfo.info/showthread.php?t=4491]Пофиксте[/url] в HijackThis следующие строки:
[quote]
O20 - AppInit_DLLs: encddpva.dll e1.dll
O20 - Winlogon Notify: dxdimqtr - C:\WINDOWS\system32\dxdimqtr.dll (file missing)
[/quote]

Эти логи с какого компьютера?
Интересуют логи с того, где Gavir появляется без подключения к сети.

Службу восстановления системы отключали?

Пофиксил,должно помочь?Результат напишу завтра.Да,это логи с компьютера,где Gavir появляется без подключения к сети. Службу восстановления системы отключал,как учили:)

Все равно появился сегодня с утра этот gavir,что с ним делать-то?

[QUOTE=laks;99485]Все равно появился сегодня с утра этот gavir,что с ним делать-то?[/QUOTE]
Пароль на учетную запись администратора ставить.
Цитата из [url=http://info.drweb.com/virus_description/64082]описания Win32.HLLW.Gavir[/url]:
[quote]
Сканирует все локальные и сетевые диски, ресурсы общего доступа, ищет *.exe файлы и заражает их. Ищет в сети активные машины и пробует подключится к ним как администратор с пустым паролем или с правами текущего пользователя. В случае успеха создает свою копию на целевой машине и удаленно запускает ее.[/quote]

Там на всех учетных записях,включая администратора,стоят нормальные пароли,уч.записей без паролей нет(на обоих компах)

В AVZ выполните скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\dxdimqtr.dll');
DeleteFile('e1.dll');
DeleteFile('encddpva.dll');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
После перезагрузки сделайте новые логи.

Вот новые логи после выполнения скрипта.Заранее большое спасибо за помощь.

Почти девственно чисто :)

Очевидно, источник заразы очищен.
Если не сложно, сделайте логи со второго компьютера.

Хорошо,сегодня со второго компьютера вечером выложу логи,потому что сегодня вирус все равно появился на обоих компах!:( Видимо дело не только в первом компе.

Пока вирус не удалён компютеры нельзя подключать в сеть. Потому что не понятно откуда он берётся

[quote=laks;99668]Хорошо,сегодня со второго компьютера вечером выложу логи,потому что сегодня вирус все равно появился на обоих компах!:( Видимо дело не только в первом компе.[/quote]
Упс! Мне следовало предупредить Вас об отключении от локалки на время лечения... Что ж, придется начинать снова. Ждем логов.

Вот логи со второго компа. Локалку я отключал только во время проверки компов.Отключать их от сети на длительное время нельзя,т.к. вся работа встанет:( А за один вечер,наверное,все не успеть...Только если в выходные.Вы можете мне помочь в выходные?

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('mididpnh.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('confbrw.dll','');
QuarantineFile('brwstat.dll','');
QuarantineFile('brwmgr32.dll','');
QuarantineFile('C:\WINDOWS\system32\sbeddem.dll','');
RebootWindows(true);
end.[/CODE]
После перезагрузки [URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis [CODE]O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O20 - AppInit_DLLs: mididpnh.dll e1.dll confbrw.dll brwstat.dll
O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)[/CODE]
Пришлите файлы карантина по правилам раздела. Повторите логи virusinfo_syscure.zip и hijackthis.log.

У нас выходных нет :)

Все сделал,в карантине ничего нет.А что нет выходных,это хоорошо!:)(для меня,по-крайней мере) Но сервис,конечно,клевый. Неужели он весь на чистом энтузиазме?

Сейчас буду смотреть логи.
Позволю себе не много оффтопа. Я не буду говорить за всех, но для меня не нужны деньги. Я работаю для души. Я хочу делать людям добро. Это для меня важнее всего. Вы тоже можете нам помочь, если будите своим друзьям и знакомым рекомендовать наш сервис. От посещаемости сайта будет зависеть его судьба. Хостинг сайта окупается за счет размещения баннеров. Чем больше посещаемости, тем больше форум получит средств на хостинг.

В логах есть только одна строчка, которая у меня вызывает сомнения.
[CODE]C:\WINDOWS\system32\sbeddem.dll[/CODE]
Ни чего не делайте с этим файлом. Я пока ещё недостаточно опытный и поэтому прошу своих коллег посмотреть Ваши логи. Кроме неё у меня быльше ни чего подозрений не вызывает.

Всё в порядке. Этот файл оказался вредоносным. Прошу прощения за путаницу. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sbeddem.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки [URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis [CODE]O20 - Winlogon Notify: sbeddem - C:\WINDOWS\system32\sbeddem.dll (file missing)[/CODE]
"Выложите" файл 'bclr.log' из папки AVZ.

После перезагрузки [URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis [CODE]O20 - Winlogon Notify: sbeddem - C:\WINDOWS\system32\sbeddem.dll (file missing)[/CODE]

Такой строчки не появляется в HijackThis,,появляется только
O20 - Winlogon Notify: sbeddem - C:\WINDOWS\
Все равно фиксить?

Да, пофиксите.
После этого можно считать, что все чисто :)