Показано с 1 по 20 из 20.

Помогите!!! Email-Worm.Win32.Warezov.df (заявка № 6726)

  1. #1
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    44

    Thumbs up Помогите!!! Email-Worm.Win32.Warezov.df

    Здравствуйте.
    Помогите справиться с вирусом!!!
    Периодически всплывает окно с информацией:
    Detected:
    Virus: Email-Worm.Win32.Warezov.df
    File: C:\WINDOWS\System32\samsusrr.exe
    Action
    File contains virus cannot be disinfected: write access is denied.
    Что делать???
    Найти этот файл не могу, есть только samsusrr.dll
    После переустановки Win не бало антивирусной проги. Недавно установил Каспера, удалил порядка 140 вирусов. С компом на уровне пользователя
    Вложения Вложения
    Последний раз редактировалось Slava0711; 11.11.2006 в 19:04.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    233
    Для начала нужно выполнить Правила. В процессе выполнения правил нужно скачать и запустить две программки. Эти программы сделают три лога, которые нужно будет прикрепить к этому топику.
    Вот по результатам анализа этих логов эксперты и хэлперы и смогут что-то конкретное посоветовать.
    А без логов можно только на кофейной гуще гадать. Этот червь Worm.Win32.Warezov постоянно модифицируется и поэтому одного универсального способа излечения от него нет.
    Выполни Правила http://virusinfo.info/showthread.php?t=1235
    Наше дело правое--победа будет за нами!!!

  4. #3
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    44
    Прикрепил логи.........

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    974
    Искать через AVZ , Поставить галку " противодействие руткитам" Найти и запаковать файлы , потом пришлёте нам .
    Вот и они :
    C:\WINDOWS\system32\samsusrr.dll
    C:\WINDOWS\system32\audmgr32.dll
    C:\WINDOWS\system32\audstat.dll
    C:\WINDOWS\system32\confaud.dll
    C:\WINDOWS\system32\confcon.dll
    C:\WINDOWS\system32\conmgr32.dll
    C:\WINDOWS\system32\constat.dll
    C:\WINDOWS\system32\cp8xpqj.dll
    C:\WINDOWS\system32\psapdani.dll

  6. #5
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    44
    Не могу найти - где в AVZ поставить галку " противодействие руткитам"
    А чуть подробнее - как искать с помощью AVZ ?
    Последний раз редактировалось Slava0711; 11.11.2006 в 20:20.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    139
    Цитата Сообщение от Slava0711
    Не могу найти - где в AVZ поставить галку " противодействие руткитам"
    в главном окне закладка "Параметры поиска", там поставить галочки напротив "Блокировать работу RootKit User-Mode" и "Блокировать работу RootKit Kernel-Mode"

    Цитата Сообщение от Slava0711
    А чуть подробнее - как искать с помощью AVZ ?
    http://virusinfo.info/showthread.php?t=4567

  8. #7
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    44
    Не находит ни одного файла никаким способом по http://virusinfo.info/showthread.php?t=4567

  9. #8
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    44
    Как только этого гада у меня в компе не будет, что дальше : включаю восстановление системы, в принципе можно удалить проги AVZ и HijackThis - они наверное больше не понадобятся и все???
    Еще вопрос: файлы и папки, помеченные значком "$", можно смело удалять? Или что это? До установки антивирусной программы их вроде не было...
    Последний раз редактировалось Slava0711; 11.11.2006 в 20:58.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    939
    -странно... неужели совсем ничего не находит?.. и даже не находит, если искать согласно пунктов 2 и 3 рекомендаций http://virusinfo.info/showthread.php?t=4567?.. разумеется с включённой блокировкой работы RootKit?..
    -на всякий случай, попробуйте ещё так: AVZ > закладка Параметры поиска > Блокировать работу RootKit (поставить обе галки User-Mode и Kernel-Mode) > Файл > Выполнить скрипт > скопируйте приведённый ниже скрипт в окно Запуск скрипта и нажмите Запустить
    begin
    QuarantineFile('C:\WINDOWS\system32\psapdani.dll', '');
    QuarantineFile('C:\WINDOWS\system32\cp8xpqj.dll',' ');
    QuarantineFile('C:\WINDOWS\system32\constat.dll',' ');
    QuarantineFile('C:\WINDOWS\system32\conmgr32.dll', '');
    QuarantineFile('C:\WINDOWS\system32\confcon.dll',' ');
    QuarantineFile('C:\WINDOWS\system32\confaud.dll',' ');
    QuarantineFile('C:\WINDOWS\system32\audstat.dll',' ');
    QuarantineFile('C:\WINDOWS\system32\audmgr32.dll', '');
    QuarantineFile('C:\WINDOWS\system32\samsusrr.dll', '');
    end.
    -ну, а по поводу того, "что дальше", пока ничего сказать нельзя, т.к. не выполнено то, что от Вас просили... "файлы и папки, помеченные значком "$"" пока тоже не следует трогать!
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  11. #10
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    44
    Сделал..... Пишет: скрипт выполнен без ощибок.
    За сутки окно антивируса пока ни разу не появлялось.
    До установки AVZ в каталоге C:\WINDOWS\System32\ был файл samsusrr.dll, сейчас его там нет..... Может AVZ решил мою проблему?...?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    743
    Нет, скрипт должен был только скопировать в карантин перечисленные файлы. Но Вы их не прислали. Как - см. в конце Правил.
    Просмотрите карантин в AVZ - "Файл - Просмотр карантина" и отправьте запрошенные файлы. Ссылка на Вашу тему (для отправки):
    http://www.virusinfo.info/showthread.php?t=6726

  13. #12
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    44

    Exclamation

    Мои действия: запускаю AVZ > закладка Параметры поиска > Блокировать работу RootKit (поставлю обе галки User-Mode и Kernel-Mode) > Файл > Выполнить скрипт > копирую приведённый ниже скрипт в окно Запуск скрипта и нажимаю Запустить. Пишет:скрипт выполнен без ощибок .
    Просматриваю карантин в AVZ - "Файл - Просмотр карантина" - пусто...
    Просматриваю "Файл - Просмотр папки infected" - все, что там есть заархивировал и загрузил, как написано в правилах (Результат загрузки
    Файл сохранён как 061112_080058_virus_45571b0a19780.zip
    Размер файла 360899
    MD5 237771bc342849cb9f2fa78e8fc89b14
    Файл закачан, спасибо!).
    запускаю AVZ > закладка Параметры поиска > Блокировать работу RootKit (поставлю обе галки User-Mode и Kernel-Mode) > Сервис> Поиск файлов на диске - ищу по всякому (по инструкции) и только на "С" и во всем компьютере - ничего не находит, пусто... (строку поиска видно).
    Что еще делать.......

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    743
    В присланном архиве существенны только
    c:\windows\system32\samsusrr.dll
    C:\WINDOWS\system32\samsusrr.bak
    их надо удалить отложенным удалением из AVZ (с чисткой), если оно еще есть (в смысле еще не удалил KAV).

    остальные присланные из карантина KAV - они уже не опасны

    К слову - когда ищете файл в AVZ, вводите только имя файла - к примеру, не
    C:\WINDOWS\system32\constat.dll
    а только constat.dll

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    743
    Когда удалите - сделайте логи еще раз для контроля.

  16. #15
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    44
    К примеру: файл искал в AVZ: C:\WINDOWS\system32\constat.dll и constat.dll и constat*.dll - ничего не нашел.
    Прикрепляю вновь сделанные логи. Сам ничего не удалял.
    Вложения Вложения

  17. #16
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    44
    Я сделал , как Вы писали.
    Большое спасибо за внимание к моей прблеме.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    939
    -AVZ > Сервис > Менеджер автозапуска > выделить C:\WINDOWS\system32\samsusrr.dll > Удалить элемент автозапуска (кнопка с крестиком на панели инструментов)
    ...проделайте ту же процедуру для файлов:
    audmgr32.dll
    audstat.dll
    confaud.dll
    confcon.dll
    conmgr32.dll
    constat.dll
    cp8xpqj.dll
    e1.dll
    psapdani.dll

    -пофиксите в HijackThis строки:
    O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)
    O20 - Winlogon Notify: conmgr - conmgr32.dll (file missing)
    O20 - Winlogon Notify: samsusrr - C:\WINDOWS\system32\samsusrr.dll (file missing)
    Последний раз редактировалось Alex Plutoff; 13.11.2006 в 20:58.
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  19. #18
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    44
    Сделал.
    Прикрепляю логи для контроля.
    Вложения Вложения

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    139
    в логах все чисто

  21. #20
    Junior Member Репутация
    Регистрация
    11.11.2006
    Сообщений
    11
    Вес репутации
    44
    Спасиба всем!
    Персонально - Alex Plutoff !

  • Уважаемый(ая) Slava0711, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Email-Worm.Win32.Warezov.et
      От zom в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 08:40
    2. Email-Worm.Win32.Warezov.et
      От Neil в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 10.01.2007, 21:08
    3. Email-Worm.Win32.Warezov.eu (.do)
      От for_igor в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.11.2006, 16:50
    4. Помогите опять этот гад Email-Worm.Win32.Warezov
      От VRV в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 06.11.2006, 19:58
    5. Email-Worm.Win32.Warezov
      От Single в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.10.2006, 22:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01135 seconds with 17 queries