Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Warezov.sz захавал ноутбук (заявка № 15647)

  1. #1
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    60

    Thumbs up Warezov.sz захавал ноутбук

    Помогите пожалуйста.
    Прогонял КАV 7.0, Symantec, Ad-aware, CureIt, AVZ, HighJack - НЕ удаляется.
    Разные AV находят разные угрозы, в основном:
    Warezov.sz (и другие .*)
    Win32.HLLM.Limar

    Ad-aware постоянно блокирует попытку regsjava.dll поменять что то в registry.
    KAV тоже ругается на него, но удалить/вылечить его не может.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\mswdrtcl.dll','');
     QuarantineFile('C:\WINDOWS\system32\regsjava.dll','');
     QuarantineFile('C:\WINDOWS\System32\ipsewmsp.exe','');
     QuarantineFile('C:\WINDOWS\system32\ipsewmsp.dll','');
     DeleteFile('C:\WINDOWS\system32\ipsewmsp.dll');
     DeleteFile('C:\WINDOWS\System32\ipsewmsp.exe');
     DeleteFile('C:\WINDOWS\System32\mswdrtcl.dll');
     DeleteFile('C:\WINDOWS\system32\regsjava.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.

    Добавлено через 1 минуту

    Пофиксите в HijackThis:
    Код:
    O20 - AppInit_DLLs: regsjava.dll
    O20 - Winlogon Notify: ipsewmsp - C:\WINDOWS\system32\ipsewmsp.dll
    O20 - Winlogon Notify: vdmdracp - C:\WINDOWS\
    Сделайте новые логи.
    Последний раз редактировалось Bratez; 25.12.2007 в 14:01. Причина: Добавлено
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    60
    карантин отправил
    новые логи сделал.

    Добавлено через 1 минуту

    что то прошлый раз не прикрепились файлы.

    Добавлено через 3 минуты

    что то не прикрепляются логи
    Последний раз редактировалось коржик; 25.12.2007 в 15:22. Причина: Добавлено

  5. #4
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    60
    вот - получилось
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Пофиксьте в HJT:
    Код:
    O20 - AppInit_DLLs: regsjava.dll
    Не перегружаясь, выполните скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\regsjava.dll');
     BC_ImportDeletedList;
     BC_DeleteFile('C:\WINDOWS\system32\regsjava.dll');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Сделайте повторно лог HiJackThis

  7. #6
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    60
    кажется не помогло
    опять эта строчка в логе, и KAV с Ad-aware ругаются.
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Странно, ведь файла этого по-видимому уже нет.
    Что говорят KAV и AdAware? Кстати их отключать надо было при выполнении скрипта.
    Попробуйте выполнить совет rubin'a в безопасном режиме, и снова лог HijackThis.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    60
    Перед тем как перегрузиться и сделать все тоже самое в безопасном режиме
    KAV нашел и удалил:
    Heur.Trojan.Generic c:\windows\system32\perfinse.exe

    Потом я в безопасном режиме я повторил совет rubin'a.
    В когда загрузился в нормальный режим Аd-aware опять выдал сообщение:
    Warning
    An atempt to alter protected object has been detected/
    Root: HKLM
    Value: Applinit_DLLs
    Data: regsjava.dll
    New Data:


    KAV пока молчит.

    PS: все операции я проводил в соответсвии с правилами, т.е. с выключенными всеми программами включая Ad-aware и KAV.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пришлите по правилам этот файл:
    C:\Documents and Settings\Юрий\Application Data\rambler.ru\toolbar\mail.mp3
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    60
    выслал

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Присланный файл безвредный.

    Я понял - это AdAware не позволяет нам изменить ключ Appinit_DLLs и водворяет на место эту ссылку! А файл regsjava.dll на самом деле был удален еще первым скриптом.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    60
    Спасибо огромное! Кажется ушла напасть!

  14. #13
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    60
    Извиняюсь, но я рано обрадовался.
    После всего я закачал все обновления для windows (раньше изза ошибки не загружались).
    Проверил все еще раз KAV, symantec, и prevxcsifree.exe - никто ничего не нашел - снес их.

    Зашел под другим пользователем - без администраторских привилегий (обычный пользователь), вдруг в сетевом окружении обнаружилось какое то устройство "DSC-3230G-228" c таким описанием "802.11.g Wireless 2-way Audio Internet Camera"
    с таким адресом: "http://192.168.66.228".

    После того как я по этому устройству в трее кликнул, Ad-aware тут же выдал сообщение:
    Warning
    An atempt to alter protected object has been detected/
    Root: HKLM
    Value: Applinit_DLLs
    Data: regsjava.dll kbdgmqqm.dll
    New Data: regsjava.dll


    После чего нажатие "Block" ни к чему не приводило - сообщение не пропадало. Компьютер можно было выключить только долгим удержанием кнопки "Power".

    Сейчас опять зашел под пользователем с административными правами, делаю логи по правилам.
    Прилагаю их к сообщению.
    Посмотрите что там за зараза такая

    мне почему то кажется что какой то левый процесс висит wmpnetwk.exe
    Вложения Вложения

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    удалили нормальные антивирусы ... осталась адваре (апсолютно безполезная) ...
    деинсталируйте ...
    выполните скрипт ...
    Код:
    begin
     DelWinlogonNotifyByFileName('regsjava.dll');
     SysCleanAddFile('C:\WINDOWS\system32\regsjava.dll');
     BC_DeleteFile('C:\WINDOWS\system32\regsjava.dll');
     BC_Activate;
     RebootWindows(true);
    end.
    повторите лог hijackthis

  16. #15
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    60
    адваре деинсталировал.
    перегрузился.
    выполнил скрипт.
    повторил лог hijackthis.
    Вложения Вложения

  17. #16
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    60
    прием

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Скрипт маленько неточный
    Пофиксите эту строчку в HijackThis:
    Код:
    O20 - AppInit_DLLs: regsjava.dll
    Перезагрузитесь и проверьте в HijackThis наличие этой строчки.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    60
    пофиксил, перегрузился - строчки нет.
    Но.
    1. Подозрительное сетевое устройство "DSC-3230G-228" не пропало.
    Если его вызвать , открывается IE c формой base-auth авторизации "для входа на сервер".
    2. КАV постоянно блокирует попытки процессов с разным PID получить доступ к процессу Антивирус Касперского. Пишет что это срабатывает самозащита. При этом он ничего не находит.

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    у вас вай фай ... ? я так понимаю ... может устройство у соседей ?

  21. #20
    Junior Member Репутация
    Регистрация
    24.12.2007
    Сообщений
    46
    Вес репутации
    60
    может и у соседей - доступных сетей куча. Если это не угроза то тогда все ок!
    Большое СПАСИБО!

  • Уважаемый(ая) коржик, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. ПК+ноутбук тормоза (ноутбук)
      От Ulja в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.03.2011, 07:41
    2. Warezov! Help!!!
      От Stam2 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 23.12.2006, 09:22
    3. Warezov 8(
      От Salma в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 15.11.2006, 19:55
    4. warezov
      От nett в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.11.2006, 11:48
    5. Warezov.bg/cy
      От aleia в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 01.11.2006, 18:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00640 seconds with 20 queries