Показано с 1 по 11 из 11.

Email-Worm.Win32.Warezov.gen (заявка № 6524)

  1. #1
    Junior Member Репутация
    Регистрация
    19.10.2006
    Сообщений
    8
    Вес репутации
    64

    Thumbs up Email-Worm.Win32.Warezov.gen

    Через 10 минут после включения компьютера F-Secure обнаруживает и удаляет эти вирусы (около 10 штук), после перезагрузки все повторяется. Outpost отмечает активность svchost, services и fsdfwd на smtp порт, блокировка действует до первой перезагрузки (потом эти программы оказываются в разделе доверенных). Помогите, пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Поищите и пришлите в соответствии с правилами файлы:
    c:\windows\system32\atrconf.exe
    c:\windows\system32\samsusrr.exe
    c:\windows\serrv.exe
    c:\program files\snoop\snoop2.exe
    C:\WINDOWS\system32\samsusrr.dll
    C:\WINDOWS\system32\atrconf.exe
    C:\WINDOWS\serrv.exe
    C:\Program Files\snoop\snoop2.exe
    C:\WINDOWS\system32\e1.dll
    C:\WINDOWS\System32\netfrtm.dll
    C:\WINDOWS\system32\psapdani.dll
    attmgr32.dll
    conmgr32.dll
    confcon.dll
    constat.dll
    confatt.dll
    attstat.dll

  4. #3
    Junior Member Репутация
    Регистрация
    19.10.2006
    Сообщений
    8
    Вес репутации
    64
    Отправил все, кроме conmgr32.dll. Возможно он был удален антивирусом.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Всё присланное:
    c:\windows\system32\atrconf.exe
    c:\windows\system32\samsusrr.exe
    c:\windows\serrv.exe
    C:\WINDOWS\system32\samsusrr.dll
    C:\WINDOWS\system32\e1.dll
    C:\WINDOWS\System32\netfrtm.dll
    C:\WINDOWS\system32\psapdani.dll
    C:\WINDOWS\system32\attmgr32.dll
    C:\WINDOWS\system32\confcon.dll
    C:\WINDOWS\system32\constat.dll
    C:\WINDOWS\system32\confatt.dll
    C:\WINDOWS\system32\attstat.dll

    Является Win32.HLLM.Limar aka Warezov aka Stration

    кроме c:\program files\snoop\snoop2.exe

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Соответственно для убиения зверя необходимо:
    1. Закрыть все программы, запустить AVZ
    2. Включить AVZ Guard
    3. Отложенным удалением удалить перечисленные файлы
    4. Перезагрузиться, не выходя из AVZ и не отключая AVZ Guard
    и для контроля стоит сделать логи заново - для контроля, все ли убилось

  7. #6
    Junior Member Репутация
    Регистрация
    19.10.2006
    Сообщений
    8
    Вес репутации
    64
    Спасибо большое! Сделал все как вы сказали, пока все нормально, если не считать, что сразу осле перезагрузки 1 раз прокричал антивирус, тот файл о котором он кричал (увы, стормозил и не запомнил его имя) я также удалил через отложенное удаление. Теперь вроде все нормально. Высылаю логи для контроля.
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    19.10.2006
    Сообщений
    8
    Вес репутации
    64


    C:\WINDOWS\system32\psapdani.dll восстал из мертвых...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    AVZ - AVZGuard - включить AVZGuard. AVZGuard - запустить приложение как доверенное, - запустите HijackThis и пофиксите строки

    O4 - HKLM\..\Run: [serrv] C:\WINDOWS\serrv.exe s
    O20 - AppInit_DLLs: psapdani.dll confcon.dll constat.dll confatt.dll attstat.dll e1.dll confaud.dll audstat.dll
    O20 - Winlogon Notify: attmgr - attmgr32.dll (file missing)
    O20 - Winlogon Notify: conmgr - conmgr32.dll (file missing)
    O20 - Winlogon Notify: samsusrr - C:\WINDOWS\
    O20 - Winlogon Notify: audmgr - C:\WINDOWS\SYSTEM32\audmgr32.dll

    Перезагрузите компьютер, не выходя из AVZ и не отключая AVZGuard, и повторите лог HjT и лог из п. 10 правил

  10. #9
    Junior Member Репутация
    Регистрация
    19.10.2006
    Сообщений
    8
    Вес репутации
    64
    Сделал все как вы сказали, теперь жду.
    А еще, можно вопрос немного не по адресу? При загрузке компьютера стала вылазить надпись "Runner Error. Invalid BackWeb application id "7681197" с чем это может быть связано?
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    В логах ничего подозрительного не видно. "Runner Error. Invalid BackWeb application id "7681197" - алерт f-secure. Возможно в реестре остались следы от удаленных зловредов, - их можно поискать и удалить через avz -поиск данных в рестре.

  12. #11
    Junior Member Репутация
    Регистрация
    19.10.2006
    Сообщений
    8
    Вес репутации
    64
    Спасибо огромное! Просто спасли! Пока все спокойно, даже как-то странно стало . Супер сервис!

  • Уважаемый(ая) GoreBlood, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Email-Worm.Win32.Warezov.hb.
      От wind086 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 29.10.2009, 13:05
    2. Email-Worm.Win32.Warezov.eu (.do)
      От for_igor в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.11.2006, 16:50
    3. Email-Worm.Win32.Warezov
      От Single в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.10.2006, 23:02
    4. Email-Worm.Win32.Warezov.xxx
      От Pugnator в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.10.2006, 18:07
    5. Email-Worm.Win32.Warezov
      От osa87 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.10.2006, 01:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00485 seconds with 20 queries