Win32.HLLW.Gavir

У меня 2 компа,каждый день Spider Guard находит где то по 500 файлов,зараженных этим Win32.HLLW.Gavir. Оба компа отключаю от инета и от локалки,все проверяю вебом,все лечится,при повторной проверке вирусы не находятся,но с утра опять начинается тоже самое!!!
На первом компе он появляется только в папках с открытым доступом по сети,а на втором и в закрытых.Сеть только из двух компов.Если сразу после лечения, не подключаясь к сети, сделать перезагрузку,то вирусы не найдутся,но с утра опять появятся.Вроде все.

[url=http://virusinfo.info/showthread.php?t=4491]Пофиксте[/url] в HijackThis следующие строки:
[quote]
O20 - AppInit_DLLs: encddpva.dll e1.dll
O20 - Winlogon Notify: dxdimqtr - C:\WINDOWS\system32\dxdimqtr.dll (file missing)
[/quote]

Эти логи с какого компьютера?
Интересуют логи с того, где Gavir появляется без подключения к сети.

Службу восстановления системы отключали?

Пофиксил,должно помочь?Результат напишу завтра.Да,это логи с компьютера,где Gavir появляется без подключения к сети. Службу восстановления системы отключал,как учили:)

Все равно появился сегодня с утра этот gavir,что с ним делать-то?

[QUOTE=laks;99485]Все равно появился сегодня с утра этот gavir,что с ним делать-то?[/QUOTE]
Пароль на учетную запись администратора ставить.
Цитата из [url=http://info.drweb.com/virus_description/64082]описания Win32.HLLW.Gavir[/url]:
[quote]
Сканирует все локальные и сетевые диски, ресурсы общего доступа, ищет *.exe файлы и заражает их. Ищет в сети активные машины и пробует подключится к ним как администратор с пустым паролем или с правами текущего пользователя. В случае успеха создает свою копию на целевой машине и удаленно запускает ее.[/quote]

Там на всех учетных записях,включая администратора,стоят нормальные пароли,уч.записей без паролей нет(на обоих компах)

В AVZ выполните скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\dxdimqtr.dll');
DeleteFile('e1.dll');
DeleteFile('encddpva.dll');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
После перезагрузки сделайте новые логи.

Вот новые логи после выполнения скрипта.Заранее большое спасибо за помощь.

Почти девственно чисто :)

Очевидно, источник заразы очищен.
Если не сложно, сделайте логи со второго компьютера.

Хорошо,сегодня со второго компьютера вечером выложу логи,потому что сегодня вирус все равно появился на обоих компах!:( Видимо дело не только в первом компе.

Пока вирус не удалён компютеры нельзя подключать в сеть. Потому что не понятно откуда он берётся

[quote=laks;99668]Хорошо,сегодня со второго компьютера вечером выложу логи,потому что сегодня вирус все равно появился на обоих компах!:( Видимо дело не только в первом компе.[/quote]
Упс! Мне следовало предупредить Вас об отключении от локалки на время лечения... Что ж, придется начинать снова. Ждем логов.

Вот логи со второго компа. Локалку я отключал только во время проверки компов.Отключать их от сети на длительное время нельзя,т.к. вся работа встанет:( А за один вечер,наверное,все не успеть...Только если в выходные.Вы можете мне помочь в выходные?

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('mididpnh.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('confbrw.dll','');
QuarantineFile('brwstat.dll','');
QuarantineFile('brwmgr32.dll','');
QuarantineFile('C:\WINDOWS\system32\sbeddem.dll','');
RebootWindows(true);
end.[/CODE]
После перезагрузки [URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis [CODE]O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O20 - AppInit_DLLs: mididpnh.dll e1.dll confbrw.dll brwstat.dll
O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)[/CODE]
Пришлите файлы карантина по правилам раздела. Повторите логи virusinfo_syscure.zip и hijackthis.log.

У нас выходных нет :)

Все сделал,в карантине ничего нет.А что нет выходных,это хоорошо!:)(для меня,по-крайней мере) Но сервис,конечно,клевый. Неужели он весь на чистом энтузиазме?

Сейчас буду смотреть логи.
Позволю себе не много оффтопа. Я не буду говорить за всех, но для меня не нужны деньги. Я работаю для души. Я хочу делать людям добро. Это для меня важнее всего. Вы тоже можете нам помочь, если будите своим друзьям и знакомым рекомендовать наш сервис. От посещаемости сайта будет зависеть его судьба. Хостинг сайта окупается за счет размещения баннеров. Чем больше посещаемости, тем больше форум получит средств на хостинг.

В логах есть только одна строчка, которая у меня вызывает сомнения.
[CODE]C:\WINDOWS\system32\sbeddem.dll[/CODE]
Ни чего не делайте с этим файлом. Я пока ещё недостаточно опытный и поэтому прошу своих коллег посмотреть Ваши логи. Кроме неё у меня быльше ни чего подозрений не вызывает.

Всё в порядке. Этот файл оказался вредоносным. Прошу прощения за путаницу. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sbeddem.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки [URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis [CODE]O20 - Winlogon Notify: sbeddem - C:\WINDOWS\system32\sbeddem.dll (file missing)[/CODE]
"Выложите" файл 'bclr.log' из папки AVZ.

После перезагрузки [URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis [CODE]O20 - Winlogon Notify: sbeddem - C:\WINDOWS\system32\sbeddem.dll (file missing)[/CODE]

Такой строчки не появляется в HijackThis,,появляется только
O20 - Winlogon Notify: sbeddem - C:\WINDOWS\
Все равно фиксить?

Да, пофиксите.
После этого можно считать, что все чисто :)

конечно, зачем его следы оставлять ?

Похоже, зверь убился. Упомянутую строку пофиксите. И это тоже пофиксите, при наличии SP2 оно всё равно не работает:
[code]O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe (file missing)[/code]

Спасибо все огромное,"в отместку" будем помогать вам рекламой вашего сайта!:)

Если Вам не сложно ;)

Помогите,пожалуйста,еще раз,только не знаю,продолжать эту тему или новую создавать.Вчера на первом компе веб определил вирус trojanspambot,но юзеры его не удалили,а игнорировали,после этого вылетел интернет.Подключение по локальной сети тоже не работает,не может присвоить ip-адрес(0.0.0.0).Все проверяется вебом,опять же он ничего не находит,с сетевой картой,кабелем и провайдером все нормально,это все проверялось несколько раз.Дело в самом компе,а в чем,понять не могу,вся работа встала!:( Вот логи с этого компа.
PS. С тем вирусом вроде пока все нормально,его не находит,но оба компа после вчерашнего лечения в сетке еще не были.

1)насчёт интернета:выполнить скрипт под номером 14 и перезагрузку , а если не поможет то под номером 15 и перезагрузку .Скрипты находятся в авз - файл- восстановление системы.
2)Загрузить на всякий случай эти игрушки на [url]http://www.virustotal.com/en/indexx.html[/url] и посмотреть результат:
C:\Documents and Settings\Бухгалтер\Рабочий стол\Настя\excitebike.exe
C:\Documents and Settings\Бухгалтер\Рабочий стол\Настя\SEABATLE.EXE

3)Ну если вы админ, будьте строже , запретите скачивание файлов ехе :) Пусть Настя книжки читает, если работы мало :)

Спасибо большущее,помогло!Вирусы не появляются,инет работает,на душе спокойно:) Еще раз спасибо!
PS. "Ну если вы админ, будьте строже , запретите скачивание файлов ехе"
Как я пришел,сразу запретил,это она до меня еще скачала :)

Э,нет,это я поторопился,вирусы все равно появляются,в логах не посмотрел.Сегодня опять вылезал этот же gavir: с утра на втором компе(который вчера лечили),первый комп в сеть не был подключен еще со вчерашнего дня.После того,как днем первый комп подключил с вашей помощью,он опять начал появляться на втором компе,но на первом не появлялся.Чудеса!

Отключите локалку (физически) и не включайте до конца лечения! Также исключите доступ посторонних лиц к компьютерам (благо нынче выходные :)). Сделайте новые логи по правилам с одного из компов.

Вот новые логи со второго компа,на котором появлялся gavir,сетку отключил физически.На первом компе вирусы уже не появляются:)

Хм... Девственная чистота :)
Давайте логи с первого, где не появляются.

тьфу,с работы охрана выгоняет,в выходные нельзя без заявления оказывается:(только в понедельник получится

Вот логи с первого компа,на котором он не появляется,но сегодня,к сожалению,оба компа были в сетке:(. На втором вирус был,а на этом нет.Может все оставить до следующих выходных?

Чистенько :)даже слишком.Разве что посмотреть , что за шаблон :
C:\Documents and Settings\Администратор\Шаблоны\winword.doc

Здравствуйте!Не знаю,начинать новую тему или продолжать старую...Вобщем продолжу старую,т.к. проблема та же самая,только этот вирус (Win32.HLLW.Gavir) появляется на одном компе.После того,как я закрыл все сетевые папки на втором компе и оставил только сетевой диск,на втором компе вирус перестал появляться.Все остальное тоже самое: др.веб при полной проверке компа в безопасном режиме его не находит,но каждое утро вирус появляется и спайдер находит 1000 с лишним зараженных им файлов и лечит их.

[QUOTE=laks;111100] каждое утро вирус появляется и спайдер находит 1000 с лишним зараженных им файлов и лечит их.[/QUOTE]
В логах не нашёл ничего такого. Может, Вам стоит Доктора полечить? ;). Базы давно обновляли?

базы обновляю обычно каждые 2 дня.Вот и в прошлый раз тоже ничего не нашли:(

И чтоже мне теперь делать?Остается только на Касперского переходить. :)

[QUOTE=laks;111110]И чтоже мне теперь делать?[/QUOTE]Во-первых - не плодить сообщений :). Если Вы чего-то забыли написать, используйте кнопку [IMG]http://virusinfo.info/images/buttonsru/edit.gif[/IMG]. Во-вторых - использование альтернативного антивируса в Вашем случае даже желательно. Варианты:
- Онлайн-Сканнер (Трендмикро или Касперский)
- eScan (использует базы Касперского) [url]http://www.microworld.de/products/mwav/mwav.asp[/url] [B][COLOR="Red"]16 Mb качать[/COLOR][/B]

Спасибо,завтра попробую.