Junior Member
Вес репутации
64
W32/Stration.gen@MM
Какая то новая модификация - пришол по аське(QIP) в виде сообщения следующего вида:
My picture:
hххp://ххх.ххх.ххх/2/238/picture.pif
My picture:
hххp://ххх.ххх.ххх/2/238/picture.pif
Check up this:
hххp://ххх.ххх.ххх/1/8592/
Check up this:
hххp://ххх.ххх.ххх/1/8592/
Это ссылка на файл с расширением .pif - я его скачал и запустил (вот я балбес ).
Шо мне делать? антивирусник(McAfee VirusScan) его видит, но сделать ничего не может. Регулярно, с частотой примерно в 30 минут вылетает сообщение тревоги. Инструкции не помагают - перезагружаюсь в защищенном режиме - проверяю - ничего нет.
Плиз хэлп!
Последний раз редактировалось anton_dr; 28.11.2006 в 08:58 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
64
Сообщение от
anton_dr
Вот
Вложения
Junior Member
Вес репутации
64
Изображения
Выполните в AVZ следующий скрипт:
Код:
begin
QuarantineFile('C:\Program Files\teleauth.exe','');
QuarantineFile('c:\windows\system32\wmspmsv1.exe','');
QuarantineFile('C:\WINDOWS\system32\wmspmsv1.dll','');
QuarantineFile('C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL','');
QuarantineFile('C:\PROGRA~1\MICROS~2\Office12\GrooveUtil.DLL','');
QuarantineFile('C:\PROGRA~1\MICROS~2\Office12\GrooveNew.DLL','');
QuarantineFile('C:\WINDOWS\system32\e1.dll','');
end.
Сформированный карантин пришлите в соответствии с Приложением 2.
Junior Member
Вес репутации
64
Сообщение от
pig
Выполните в AVZ следующий скрипт:
Сформированный карантин пришлите в соответствии с Приложением 2.
Отправил... только архив вроде без пароля, хотя хз.. но я никаких паролей не ставил, разве что она по дифолту поставился.
вот че написали
Файл сохранён как 061128_032818_virus_456bf32218fc4.zip
Размер файла 1040098
MD5 bacb0b227a1609e54c235e7a15e47941
Последний раз редактировалось anton_dr; 28.11.2006 в 12:33 .
1. Выполните скрипт:
begin
if SetAVZGuardStatus(True) then
DeleteFile('C:\WINDOWS\system32\e1.dll');
ExecuteSysClean;
end.
Junior Member
Вес репутации
64
Сообщение от
Alex_Goodwin
1. Выполните скрипт:
Выполнил Пока ничего не появлялось Значит чтобы излечиться - нужно удалить всего лишь один файл C:\WINDOWS\system32\e1.dll?
Junior Member
Вес репутации
64
Опять тоже самое после перезагрузки
Судя по скриншоту, зверь вот:
c:\windows\system32\wmspmsv1.exe
C:\WINDOWS\system32\wmspmsv1.dll
Просто хочется услышать от аналитиков подтверждение, прежде чем рубить головы. И неясно, что за teleauth.exe такой...
Сообщение от
pig
Просто хочется услышать от аналитиков подтверждение, прежде чем рубить головы. И неясно, что за teleauth.exe такой...
А эти файлы и небыли присланы...
2 Nickk Попробуйте включить противодействие руткитам и повторно попробовать добавить в карантин
c:\windows\system32\wmspmsv1.exe
C:\WINDOWS\system32\wmspmsv1.dll
C:\Program Files\teleauth.exe
C:\WINDOWS\Integrator.exe
Сообщение от
Nickk
Выполнил
Пока ничего не появлялось
Значит чтобы излечиться - нужно удалить всего лишь один файл C:\WINDOWS\system32\e1.dll?
нет. Просто 100 % на тот момент из прсланых детектился только этот файл.
Junior Member
Вес репутации
64
Сообщение от
pig
Судя по скриншоту, зверь вот:
c:\windows\system32\wmspmsv1.exe
C:\WINDOWS\system32\wmspmsv1.dll
Просто хочется услышать от аналитиков подтверждение, прежде чем рубить головы. И неясно, что за teleauth.exe такой...
teleauth.exe - это точно не вирус - это авторизатор. wmspmsv1.exe самостоятельно пытался удалять но он появляется снова после перезагрузки. wmspmsv1.dll - не удаляется - нет доступа.
Junior Member
Вес репутации
64
Сообщение от
Shu_b
А эти файлы и небыли присланы...
2 Nickk Попробуйте включить противодействие руткитам и повторно попробовать добавить в карантин
c:\windows\system32\wmspmsv1.exe
C:\WINDOWS\system32\wmspmsv1.dll
C:\Program Files\teleauth.exe
C:\WINDOWS\Integrator.exe
Добавление в каратин ни к чему не приводит - вирус один фик выскакивает.
Сообщение от
Nickk
Добавление в каратин ни к чему не приводит - вирус один фик выскакивает.
Так файлы добавились в карантин? Если да, их надо прислать согласно правил. Мы не можем без анализа давать рекомендации по удалению.
Junior Member
Вес репутации
64
Сообщение от
Shu_b
Так файлы добавились в карантин? Если да, их надо прислать согласно правил. Мы не можем без анализа давать рекомендации по удалению.
Файл сохранён как 061129_000723_virus_456d158b12494.zip
Размер файла 267579
MD5 1d2d54777f745e4e8aaaaa0b648720c4
Да, это limar aka Warezov aka Stration
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\wmspmsv1.exe');
DeleteFile('C:\WINDOWS\system32\wmspmsv1.dll');
DeleteFile('C:\WINDOWS\system32\e1.dll');
ExecuteSysClean;
RebootWindows(True);
end.
После выполнения новые логи с 10 пункта правил.
Junior Member
Вес репутации
64
Сообщение от
Shu_b
Да, это limar aka Warezov aka Stration
Выполните скрипт:
После выполнения новые логи с 10 пункта правил.
Воть
Вложения
Последний раз редактировалось anton_dr; 29.11.2006 в 11:19 .
пофиксить (http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - Winlogon Notify: wmspmsv1 - C:\WINDOWS\
Junior Member
Вес репутации
64