Junior Member
Вес репутации
63
Заражение вирусом w32.stration.DB@mm и w32.stration.cX@mm
Добрый день, подскажите пожалуйста что сделать и как быть. Комп подцепил два вируса: w32.stration.DB@mm и w32.stration.CX@mm
установил Norton antivirus 2003 Professional edition. Заражено 3 файла: confapp.dll, appstat.dll, dsqudisp.dll
так говорит нортон анвивирус. Но не удалить их и вылечить не могу. Что можно сделать, т.к. сносить всю систему совсем не хочется.
Заранее спасибо!
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сообщение от
Станислав
Что можно сделать...
Для начала внимательно прочитать и выполнить правила - http://virusinfo.info/showthread.php?t=1235
Выполнить правила и сменить антивирус
Junior Member
Вес репутации
63
Выкладываю файлы логов, согласно приведенным правилам.
Заранее спасибо за помощь. какой антивирус посоветуете. Хороший ли антивирус Panda?
Вложения
1. в AVZ Выполнить скрипт (Файл -- Выполнить скрипт -- Загрузить ниже написанный код - Запустить)
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('confapp.dll','');
QuarantineFile('dsqudisp.dll','');
QuarantineFile('brwmgr32.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('D:\WINDOWS\system32\confapp.dll','');
QuarantineFile('D:\WINDOWS\system32\appstat.dll','');
QuarantineFile('D:\WINDOWS\system32\appmgr32.dll','');
DeleteFile('e1.dll');
DeleteFile('dsqudisp.dll');
DeleteFile('confapp.dll');
DeleteFile('brwmgr32.dll');
DeleteFile('atmmgr32.dll');
DeleteFile('appstat.dll');
DeleteFile('appmgr32.dll');
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки прислать файлы, согласно Приложения 2 (п. 8 )
См. рисунок внизу.
Ссылка на тему: http://virusinfo.info/showthread.php?t=7825
Последний раз редактировалось PavelA; 07.02.2007 в 13:30 .
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
63
Добрый день!
Сделал все как Вы написали, только в карантин ничего не добавилось. Там только один файл от вчерашнего числа. его я отправил.
Поясните пожалуйста все ли я сделал правильно.
я правильно понимаю, что нужно было добавить файлы в карантин, которые были прописаны в скрипте. Заранее спасибо.
d:\windows\system32\wmadmsst.exe - Win32.HLLM.Limar (по Dr.Web)
в AVZ выполнить скрипт.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('d:\windows\system32\wmadmsst.exe');
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки загрузиться в Safe Mode ( F8 ) и повторить скрипт, написанный ранее
Код:
begin
SearchRootkit(true, true);
QuarantineFile('confapp.dll','');
QuarantineFile('dsqudisp.dll','');
QuarantineFile('brwmgr32.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('D:\WINDOWS\system32\confapp.dll','');
QuarantineFile('D:\WINDOWS\system32\appstat.dll','');
QuarantineFile('D:\WINDOWS\system32\appmgr32.dll','');
DeleteFile('e1.dll');
DeleteFile('dsqudisp.dll');
DeleteFile('confapp.dll');
DeleteFile('brwmgr32.dll');
DeleteFile('atmmgr32.dll');
DeleteFile('appstat.dll');
DeleteFile('appmgr32.dll');
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки, если что-то попадет в карантин, прислать. Если карантин будет пуст, то сделать новые логи и прислать их.
Надо будет сменить антивирус. Ваш Нортон плохо ловит таких зверьков.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
63
Добрый день, Павел!
сдела все как вы сказали, карантин по-прежнему пуст.
высылаю логи.
Вложения
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('dsqudisp.dll','');
QuarantineFile('D:\WINDOWS\system32\zlcocard.dll','');
QuarantineFile('D:\WINDOWS\system32\wmspmsv1.dll','');
QuarantineFile('D:\WINDOWS\system32\osunuxth.dll','');
QuarantineFile('D:\WINDOWS\system32\appconf.exe','');
QuarantineFile('D:\WINDOWS\system32\wmadmsst.dll','');
DeleteFile('D:\WINDOWS\system32\wmadmsst.dll');
DeleteFile('D:\WINDOWS\system32\appconf.exe');
DeleteFile('D:\WINDOWS\system32\osunuxth.dll');
DeleteFile('D:\WINDOWS\system32\wmspmsv1.dll');
DeleteFile('D:\WINDOWS\system32\zlcocard.dll');
DeleteFile('dsqudisp.dll');
ExecuteSysClean;
RebootWindows(true);
end.
Пофиксить
Код:
O4 - HKLM\..\Run: [appdiag] D:\WINDOWS\system32\appconf.exe
O20 - Winlogon Notify: appmgr - D:\WINDOWS\
O20 - Winlogon Notify: atmmgr - D:\WINDOWS\
O20 - Winlogon Notify: brwmgr - D:\WINDOWS\
O20 - Winlogon Notify: osunuxth - D:\WINDOWS\system32\osunuxth.dll (file missing)
O20 - Winlogon Notify: wmadmsst - D:\WINDOWS\system32\wmadmsst.dll
O20 - Winlogon Notify: wmspmsv1 - D:\WINDOWS\system32\wmspmsv1.dll (file missing)
O20 - Winlogon Notify: zlcocard - D:\WINDOWS\system32\zlcocard.dll (file missing)
Эти IP известны Вам? если нет, то тоже пофиксить
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2E2DF27-7D2C-43CD-8763-FD93E12BECD3}: NameServer = 212.164.52.10,212.164.53.21
Junior Member
Вес репутации
63
Скрипт выполнил. Объясните пожалуйста, что значит пофиксить и как это сделать. Спасибо.
Что значит "пофиксить с помощью HijackThis"?
В карантин попало что-нибудь? Если есть, пришлите. После того, как пофиксите, сделайте новые логи.
Junior Member
Вес репутации
63
Сделал все как сказали, карантин по-прежнему пуст. Высылаю логи.
Спасибо всем, кто помогает!
Вложения
Вроде чисто. Жалобы есть на что-либо?
Остался кусочек от НОД32, выполните скрипт
Код:
begin
SearchRootkit(true, true);
DeleteFile('D:\Program Files\ESET\nodshex.dll');
ExecuteSysClean;
RebootWindows(true);
end.
Советую сменить Симантек на что-либо более достойное.
Junior Member
Вес репутации
63
Уведомление об обнаружении больше не выскакивает, спасибо! Но появилась вот такая проблема: все открываемые файлы и документы не отображаются на панели задач.Что может быть?
Junior Member
Вес репутации
63
Симантек сменю обязательно, спасибо за помощь.
Сообщение от
Станислав
Но появилась вот такая проблема: все открываемые файлы и документы не отображаются на панели задач.Что может быть?
Попробуйте АВЗ - восстановление системы, выполнить пункты 5, 6, 8.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 1 В ходе лечения обнаружены вредоносные программы:
d:\\windows\\system32\\wmadmsst.exe - Email-Worm.Win32.Warezov.jw (DrWEB: Win32.HLLM.Limar)