Два дня назад начались сыпаться сообщения от Symantec Emai Proxy (Norton Antivirus) с сообщениями о рассылке с моего email. Пробовал уничтожать найденный троян, но после удаления он опять восстанавливается.
Сообщения появляются каждую секунду, невозможно работать на компьютере
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пробовал уничтожать найденный троян, но после удаления он опять восстанавливается.
пофиксите с помощью HijackThis следующие строки:
(если не ставили эту страницу сами
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://gw26.enals.com/fw/enter.asp
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
пришлите по правилам форума файлы:
C:\WINDOWS\UpdReg.EXE
C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
C:\WINDOWS\TEMP\arm5EE8.tmp
пришел только ОДИН файл:
C:\WINDOWS\TEMP\arm5EE8.tmp - там червь Email-Worm.Win32.Scano.ar, его нужно удалить.
а другие файлы не найдены? искали через AVZ?
C:\WINDOWS\TEMP\arm5EE8.tmp - там червь Email-Worm.Win32.Scano.ar, его нужно удалить.
а другие файлы не найдены? искали через AVZ?[/quote]
Пробовал удалять через AVZ червь Email-worm.win32.scano.ar, после удаления все равно программа его находит.......кроме этого файла другие файлы не найдены.
Пробовал сканировать с помощью Outpost Firewall, находит два файла Scano и Perf, которые тоже не получается удалить
-запустите AVZ > Файл > Добавление в карантин по списку > введите указанные МОСТ
C:\WINDOWS\UpdReg.EXE
C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
C:\WINDOWS\TEMP\arm5EE8.tmp
-попробуйте с включённым AVZ Guard или с включенным Блокировать работу RootKit...
Снова пришел один C:\WINDOWS\TEMP\arm5EE8.tmp
Попробуйте такой алгоритм:
1. Отключите компютер от Интернет/локальной сети.
2. Закройте все программы в том числе антивирус и browser hijack retaliator.
3. Запустите AVZ.
4. Включите AVZGuard.
5. Удалить файл C:\WINDOWS\TEMP\arm5EE8.tmp через AVZ меню Файл->«Отложенное удаление».
6. Меню файл – Восстановление системы – установите галочку «Удаление отладчиков системных процессов». Нажмите кнопку Выполнить …
7. Перезагрузите компьютер, не выходя из AVZ и не выключая AVZ Guard
Снова пришел один C:\WINDOWS\TEMP\arm5EE8.tmp
Попробуйте такой алгоритм:
1. Отключите компютер от Интернет/локальной сети.
2. Закройте все программы в том числе антивирус и browser hijack retaliator.
3. Запустите AVZ.
4. Включите AVZGuard.
5. Удалить файл C:\WINDOWS\TEMP\arm5EE8.tmp через AVZ меню Файл->«Отложенное удаление».
6. Меню файл – Восстановление системы – установите галочку «Удаление отладчиков системных процессов». Нажмите кнопку Выполнить …
7. Перезагрузите компьютер, не выходя из AVZ и не выключая AVZ Guard
После удаления файла
arm5EE8.tmp по данному алгоритму выведен из строя Norton (запрос об активации). Просканировал еще раз программой Outpost Firewall, червь Scano больше не обнаруживается, но все еще находит и не удается удалить Perf......
После удаления файла
arm5EE8.tmp по данному алгоритму выведен из строя Norton (запрос об активации). Просканировал еще раз программой Outpost Firewall, червь Scano больше не обнаруживается, но все еще находит и не удается удалить Perf......
Туда ему и дорога. Norton не лучший вариант. Хотя, эффект не ожиданный.
Где (в каком файле) Outpost находит Perf... Приведите здесь его сообщение полностью.
Туда ему и дорога. Norton не лучший вариант. Хотя, эффект не ожиданный.
Где (в каком файле) Outpost находит Perf... Приведите здесь его сообщение полностью.
Просканировал еще раз при помощи Outpost:
Всего выявило 5 упоминаний в реестре:
а)Набрать в командной строке и выполнить следующую команду:
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /v Debugger /f
б) Перезагрузить систему.
в) Запустить утилиту Dr.Web CureIt. Проверяемая директория - %SystemRoot% (по умолчанию С:\WINDOWS). Действие для объектов зараженных Win32.HLLM.Perf - удалить
Скачать Dr.Web CureIt http://download.drweb.com/drweb+cureit/
Ввел команду удаления, проверил с помощью утилиты Dr.Web CureIt......вирусы обнаружены не были. Запускаю Outpost Firewall, находит опять 5 совпадений в реестре по Perf
Ввел команду удаления, проверил с помощью утилиты Dr.Web CureIt......вирусы обнаружены не были. Запускаю Outpost Firewall, находит опять 5 совпадений в реестре по Perf
MOCT уже писал:
Сообщение от MOCT
пофиксите с помощью HijackThis следующие строки:
(если не ставили эту страницу сами
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://gw26.enals.com/fw/enter.asp
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
Это было сделано?
Если да, то давайте новый лог HijackThis.
Запустите AVZ, включите AVZGuard, выберите пункт "Файл\Отложенное удаление файла", скопируйте в поле "Имя файла" эту строчку:
C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
Нажмите кнопку Открыть.
После этого не выключая AVZGuard уйдите на перезагрузку.
PS. HijackThis не справляется с этой гадостью. Пофиксить в нем получится только после удаления файла.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: