Удалял уже не раз появляется снова и снова, AVZ проверку делал, avast его постоянно находит, не знаю где эта гадина сидит, людии хелп.
Printable View
Удалял уже не раз появляется снова и снова, AVZ проверку делал, avast его постоянно находит, не знаю где эта гадина сидит, людии хелп.
[quote=mordovorot]Удалял уже не раз появляется снова и снова, AVZ проверку делал, avast его постоянно находит, не знаю где эта гадина сидит, людии хелп.[/quote]
-первое что в глаза бросилось:
[code]
D:\WINDOWS\wupdmgr.exe
D:\WINDOWS\vmmlog32.dll
D:\WINDOWS\SOUNDMAN.EXE
(Имя soundman.exe используют несколько десятков злонамеренных программ!!!(C))
D:\Program Files\PokerOffice\bin\javaw.exe
[/code]
пришлите их согласно правил
Игрушки в Internet Explorer сами ставили?
Пришлите, как написано в Приложении 2:
[code]D:\WINDOWS\system32\wupdmgr.exe[/code]
Плюс то, что Alex Plutoff указал. Кажется, это и есть искомый казачок.
Ещё пришлите (отдельным архивом, это большей частью или вообще полностью в базу безопасных):
[code]d:\windows\alcwzrd.exe
d:\progra~1\alwils~1\avast4\ashdisp.exe
d:\program files\alwil software\avast4\ashmaisv.exe
d:\program files\alwil software\avast4\ashserv.exe
d:\program files\alwil software\avast4\ashwebsv.exe
d:\program files\alwil software\avast4\aswupdsv.exe
d:\program files\pokeroffice\bin\javaw.exe
c:\mirandia\miranda32.exe
d:\windows\soundman.exe
D:\WINDOWS\System32\Drivers\Aavmker4.SYS
D:\WINDOWS\System32\Drivers\aswRdr.SYS
D:\WINDOWS\System32\Drivers\aswTdi.SYS
D:\WINDOWS\System32\Drivers\dtscsi.sys
D:\WINDOWS\System32\Drivers\dump_atapi.sys
D:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
D:\WINDOWS\system32\drivers\RtkHDAud.sys
D:\WINDOWS\System32\Drivers\SPTD8093.SYS
sfsync03.sys
sptd.sys
D:\PROGRA~1\SMSEXP~1\smsexpress.exe
d:\PARTY\PartyGammon\RunBackGammon.exe
d:\PARTY\PartyPoker\RunApp.exe
deskpan.dll
d:\program files\steganos internet trace destructor 7\itd7se.dll
D:\Program Files\Alwil Software\Avast4\ashShell.dll
D:\WINDOWS\system32\RgoMon.dll
D:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
mscoree.dll
D:\Program Files\Microsoft ActiveSync\aatp.dll
D:\Program Files\PokerOffice\bin\pshimp.Dll[/code]
Ребят я не пойму как их прислать? вроде тут архивы большие нельзя помещать.
В правилах было написано -
[url]https://virusinfo.info/upload_virus.php[/url]
На той страничке ещё требуется ссылка на тему -
[url]http://virusinfo.info/showthread.php?t=6128[/url]
Сделал как было написано, извиняюсь за то, что не внимательно читал правила, на других форумах уже бы послали :)
[quote]на других форумах уже бы послали [/quote]
Вот только не надо наш форум с кем-то сравнивать. Других русскоязычных форумов такого уровня просто нет.
[QUOTE=AndreyKa]Вот только не надо наш форум с кем-то сравнивать. Других русскоязычных форумов такого уровеня просто нет.[/QUOTE]
Это было сказано, как комплимент :)
[quote=anton_dr]Это было сказано, как комплимент :)[/quote]
Именно :)
В AVZ в «Параметрах поиска» включите Блокировать работу RootKit User-Mode.
Нажмите кнопку Пуск.
После окончания сканирования в AVZ меню Сервис – Диспетчер процессов – завершите процесс wupdmgr.exe. Затем в меню файл - "Отложенное удаление файла" последовательно удалите файлы:
D:\WINDOWS\wupdmgr.exe
D:\WINDOWS\vmmlog32.dll
Перезагрузите компьютер и сделайте логи, начиная с 10-го пункта правил.
Эти файлы классифицированы лабораторией Dr.Web так:
wupdmgr.exe - Trojan.NtRootkit
vmmlog32.dll - Trojan.Hooker.122
[QUOTE=AndreyKa]Эти файлы классифицированы лабораторией Dr.Web так:
wupdmgr.exe - Trojan.NtRootkit
vmmlog32.dll - Trojan.Hooker.122[/QUOTE]
определяются:
база 13:11 Trojan.Hooker.122
база 14:02 Trojan.DownLoader.12446
бардак.... :(
Переквалифицировали на другую статью.
[QUOTE=pig]Переквалифицировали на другую статью.[/QUOTE]
Окончательный приговор: Trojan.DownLoader.12446 (оба файла)
Мера пресечения: отложенное удаление посредством AVZ.
После этого повторить логи.
Всех благодарю, вирус уничтожен! :) Пойду пожертвование сделаю :)
И новые логи. По уму, надо ещё реестр почистить.
Новые логи.
Похоже, чисто. AVZ и мусор в реестре пособирала, умница.
Пришлите вот этот файл:
[code]D:\games\Rune\System\Window.dll[/code]
То ли я его в прошлый раз не увидел, то ли его не было.
Вот
[COLOR="Red"]Ладно бы в первый раз. А то слали же уже нормально...
Файл сохранён как virus_44f6d3f6641cf.zip
Размер файла 111850
MD5 a1fa5e3ae33288b0da726a4582e34816
[/COLOR]
-с вероятностью 90% процентов (глубже копать нет времени) Window.dll вполне безобидный модуль из игрушки, служит для управления её окном/ми, содержит курсоры, иконки, диалоги и т.п. ...видимо, у AVZ тоже бывают ложные срабатывания :)
[quote=Alex Plutoff] ...видимо, у AVZ тоже бывают ложные срабатывания :)[/quote]
А как же без них - в скриптах сканирования AVZ для virusinfo все настройки стоят на "параноидальный" :) Файл проверен - он не опасен и ушел в базу чистых.
Угу. И модули от игрушки тоже разные попадаются :).
MedvedD приводил в "Исследовании антивирусов 4" результат для одного такого [url=http://www.virusinfo.info/showpost.php?p=78465&postcount=94] обнаруженного руткита[/url].
Параллельно в фидо пришло письмо об обнаружении аналогичного файла при запуске игрушки с куклой Барби "Салон красоты".
Попросил вирус-лаб подтвердить детектирование. Сегодня пришел ответ:
[QUOTE]
Драйвер не позволяет читать некоторые файлы (с достаточно сложной маской для имен файлов) в контексте процесса Explorer. Этого не достаточно для того, чтобы отнести данную программу к категории Trojan.NtRootkit. Поэтому детектирование файла остановлено.
[/QUOTE]
Суть ответа я понял примерно так: Хоть создатели игрушки и [sensored], пусть себе дети играют в эту Барби :).