Мучался с Варезовым, при скане оказалось, что ещё какие-то подозрения есть..)
Антивирус был Каспер, пару дней назад avast! установил.
Необходимые файлы прикрепляю, надеюсь, хоть вы сможете чем-то помочь..)
Заранее благодарен..: )
Printable View
Мучался с Варезовым, при скане оказалось, что ещё какие-то подозрения есть..)
Антивирус был Каспер, пару дней назад avast! установил.
Необходимые файлы прикрепляю, надеюсь, хоть вы сможете чем-то помочь..)
Заранее благодарен..: )
Куски от warezov еще живы. Поищите и пришлите согласно правилам для анализа файлы:
c:\windows\stm.exe
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\system32\vgnb4c.dll
C:\WINDOWS\stm.exe
C:\WINDOWS\msupdtwiz.exe
C:\WINDOWS\system32\samsusrr.dll
wbsys.dll
audmgr32.dll
alrsbatt.dll
audstat.dll
brwmgr32.dll
brwstat.dll
confaud.dll
confbrw.dll
C:\WINDOWS\DOWNLO~1\Install.dll
Часть из них скорее всего удалил AVZ - в логе есть информация о детекте и попытке удаления файлов.
Прислал.
Ещё при проверке avast!'ом обнаруживались файлы
[FONT=Courier New]C:\WINDOWS\system32\vgnb4c.dll [L] Win32:Warezov-LE [Wrm] (0)[/FONT]
[FONT=Courier New]C:\WINDOWS\system32\hffh6k.dll [L] Win32:Warezov-LE [Wrm] (0)[/FONT]
[FONT=Courier New]C:\WINDOWS\system32\uag64n.exe [L] Win32:Warezov-LE [Wrm] (0)[/FONT]
[FONT=Courier New]C:\WINDOWS\system32\vgnb4c.dll [L] Win32:Warezov-LE [Wrm] (0)[/FONT]
[FONT=Courier New]C:\WINDOWS\system32\hffh6k.dll [L] Win32:Warezov-LE [Wrm] (0)[/FONT]
Если ещё остались - присылайте.
Всё так же, "Согласно правилам"?)
Не добавляются они в карантин, видимо, не видит из AVZ.
похоже, только аваст их и видит..
Ещё хотелось бы поинтересоваться, как аваст как антивирус?
Установил по совету знакомого, хотелось бы услышать более объективную информацию.
Отдельно C:\WINDOWS\system32\vgnb4c.dll послал, потом обнаружил, что в предыдущей "посылке" он присутствовал.
Прошу прощения за лишнюю копию.
vgnb4c.dll - Email-Worm.Win32.Warezov.cu, он детектируется AVZ с последней базой
e1.dll, stm.exe - Warezow
popcaploader.dll- загружалка AdWare
Перечисленные файлы нужно удалить
Спасибо, не подскажете, как это сделать?)
1. AVZ - Файл - Выполнить скрипт:
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\stm.exe');
DeleteFile('C:\WINDOWS\system32\e1.dll');
DeleteFile('C:\WINDOWS\system32\vgnb4c.dll');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
2. Пофиксить:
[code]O4 - HKLM\..\Run: [msupdtwiz] C:\WINDOWS\msupdtwiz.exe s
O4 - HKLM\..\Run: [chater.exe] C:\WINDOWS\stm.exe s
O13 - DefaultPrefix: http://htpp.ws?
O13 - WWW Prefix: http://htpp.ws?
O13 - Home Prefix: http://webwarper.net/clicklog.pl/AUTODL~~/~av/
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)
O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)
O20 - Winlogon Notify: samsusrr - C:\WINDOWS\system32\samsusrr.dll (file missing)
O20 - Winlogon Notify: zlcocard - C:\WINDOWS\[/code]
3. Через редактор реестра (см. ключ HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Windows) или через менеджер автозапуска AVZ зачистить AppInit_DLLs - там должна остаться только NVDESK32.DLL
4. Ещё раз перезагрузиться и сделать новые логи.
"O4 - HKLM\..\Run: [chater.exe] C:\WINDOWS\stm.exe s"
Не наблюдаю данную строку.
Значит, AVZ зачистила.
И ещё, можно по поводу 3-его пункта поподробнее)
Уж извините, далёк я от этого..(
Сделаем так. Этот текст:
[code]Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="NVDESK32.DLL"
[/code]
вставьте в Блокнот и сохраните под именем "appinit.reg" (имя так и набирайте в кавычках, чтобы Блокнот своё расширение не накрутил). Затем два щелчка мышкой по файлу и подтвердите внесение изменений.
При попытке пофиксить ошибку какую-то выводит.
Но при следующем скане этой строки нет.
Это нормально?)
См. выше, я другой ход придумал.
Сделал)
переходить к 4-ому пункту?)
Да.
Час сидел, нажимал "F5", чтобы услышать ответ "да")))
Извиняюсь, мысли вслух)
Вот эти логи?)
При перезагрузке антивирус ничего не нашёл, проблема решена?)
О, похудели файлики по сравнению с 1-ым постом))
Вроде чисто. Выполните ещё такой скрипт:
[code]begin
QuarantineFile('C:\Program Files\AlienGUIse\WBlind.dll','');
QuarantineFile('C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\LGMOUSHK.dll','');
end.[/code]
Карантин пришлите. Можно через [url]http://virusinfo.info/index.php?page=upload_clean[/url], это в базу безопасных.
А, виноват, проглядел. Пофиксите:
[code]O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)[/code]
Новых логов не надо, это старый мусор.
Всё вышепредложенное сделал)
Если это всё - спасибо огромное)) В частности, за сдержанность к "не особо умным" вопросам)
Быстро, профессионально и с ответственным подходом..)
Я конечно, извиняюсь, но вот это что?
[quote]O4 - HKLM\..\Run: [PViever] "C:\Program Files\PViever\pviever.exe" hide[/quote]
Судя по яндексу, и нашему форуму, это заразка.
Тогда, наверное, так:
[code]begin
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\PViever\pviever.exe','');
DeleteFile('C:\Program Files\PViever\pviever.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
И посмотреть, что HijackThis после этого покажет. Если файл попадёт в карантин, то пришлите.
Доброе утро.
У меня в карантине AVZ 105 файлов, это нормально?
PViever'а среди них нет.
Не знаю, что говорит HijackThis, лог прикрепляю)
lsass.
Это ж вирус вроде, не?
[quote]O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)[/quote]Почему они миссинг, работает вроде всё.
Чёт временами система подтормаживать стала, минут на 5, потом вроде нормализуется.
[quote=DeWalt]У меня в карантине AVZ 105 файлов, это нормально?
PViever'а среди них нет.[/quote]
Нет - это хорошо. Значит, тоже старый мусор был. А карантин, наверное, можно и почистить. Или переложить куда-нибудь, если жалко сразу выносить.
[quote=DeWalt]lsass.
Это ж вирус вроде, не?[/quote]
Смотря какой. C:\WINDOWS\system32\lsass.exe - правильный файл.
[quote=DeWalt]Почему они миссинг, работает вроде всё.[/quote]
Это из-за кавычек и ключа /service. HijackThis малось запутался.
[quote=DeWalt]Чёт временами система подтормаживать стала, минут на 5, потом вроде нормализуется.[/quote]
Я смотрю, вы Outpost поставили. Может, конфликтует с чем.
Ага, нашёл ещё одну пакость, которую надо пофиксить:
[code]R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.webalta.com/?p1=1&p2=1&p3=1dc5c269693c4fb926726c808f7b03606c92d1c5
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)[/code]
Даже не одну... Последнее, кстати, уже был совет пофиксить, делали?
Вырубил avast! - всё нормально, не тормозит.
Пофиксил.
Вроде бы делал всё, что говорили, не должен был пропустить, хотя, 100%-ой гарантии дать, конечно, не могу.
Судя по всему, мы с Вами в разное время тут бываем, поэтому на всякий случай логи прикреплю..
Сейчас точно удалял
[QUOTE]O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)[/QUOTE]
Вижу, что он снова появился.
Ещё 2 раза удалял - все равно возвращается..
Как понимать смену Воскл. знака на вопросительный..?)
[QUOTE=DeWalt;87199]Сейчас точно удалял
Вижу, что он снова появился.
Ещё 2 раза удалял - все равно возвращается..[/QUOTE]
[url]http://virusinfo.info/showpost.php?p=80604&postcount=2[/url]
Прошу прощения, изначально не так понял данный пост.
Видимо, опять я что-то недопонимаю.
Судя по примеру, название службы находится в скобках, но при попытке его ввести (в данном случае PowerManager) выдаётся ошибка.
Растолкуйте мне недалёкому.))
Какая именно ошибка?
"The service 'PowerManager' is enabled and/or running. Disable it first, using HijackThis itself (from the scan results) or the Services.msc window."
Как "выключить с помощаю хижака" не понял, в процессах тоже ничего подобного не обнаружил.
Пуск - Панель управления - Администрирование - Службы
Найдите там PowerManager и переведите в состояние "Отключена".
Пишет, что выключен.
Service status: stopped
[CODE]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Потом повторить все логи
Сделал disabled, пропала строка из лога.
Скрипт все равно выполнять?
[QUOTE=DeWalt;87249]Сделал disabled, пропала строка из лога.
Скрипт все равно выполнять?[/QUOTE]
Я бы для надёжности посоветовал выполнить. Если svchost.exe окажется в карантине то прислать по правилам
Карантин пуст)
Один из svchost.exe 22м памяти жрёт, это нормально?)
ПО поводу памяти не знаю. А в завершении советую скачать курит и просканировать все диски [url]ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe[/url]