Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Файл wmdrtc32.dll заражен червем Email-Worm.Win32.Warezov.et (заявка № 8903)

  1. #1
    Junior Member Репутация
    Регистрация
    09.04.2007
    Сообщений
    18
    Вес репутации
    62

    Question Файл wmdrtc32.dll заражен червем Email-Worm.Win32.Warezov.et

    Доброго времени суток.
    Поробую вкратце изложить ситуацию:
    Вчера после перезагрузки заметил, что половина программ не загрузилась, ребутнулся еще пару раз - безрезультатно. Заметил, что многие экзэшники (драйвера мыши, касперского, аутпоста и пр) отсутствуют, даже если переустановить программу, после ребута исчезают.
    АВЗ жалуется на файлы:
    E:\WINDOWS\system32\wmdrtc32.dll
    E:\WINDOWS\system32\win26825.dll
    E:\WINDOWS\system32\wmdrtc32.bak
    E:\windows\system32\wmdconf32.dl_
    Говорит троян, кейлоггер.
    Вроди как удаляет их после ребута, но при загрузке они снова появляются.
    Помогите пожалуйста, буду очень благодарен.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('E:\WINDOWS\system32\wmdrtc32.dll','');
     QuarantineFile('E:\WINDOWS\system32\wmdconf32.dll','');
     QuarantineFile('E:\WINDOWS\system32\win26825.dll','');
     QuarantineFile('E:\WINDOWS\killcopy.dll','');
     QuarantineFile('e:\program files\ultranet\auth\aaa.exe','');
    RebootWindows(false);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

  4. #3
    Junior Member Репутация
    Регистрация
    09.04.2007
    Сообщений
    18
    Вес репутации
    62
    Если я правильно понял, должен загрузить папку карантина в архиве с пароем virus через эту страничку: http://virusinfo.info/upload_virus.php

    Но оно не грузится, пишет не верная ссылка на форум. там стоит образец http://virusinfo.info/showthread.php?t=XXXX а у меня http://virusinfo.info/showthread.php?p=103183, возможно из-за этого.
    Выложил архив под постом.

    P.S.: после использования скрипта ничего не изменилось, все так же мрут экзешники.
    Последний раз редактировалось Shu_b; 10.04.2007 в 09:27.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    там стоит образец http://virusinfo.info/showthread.php?t=XXXX
    В Вашем случае будет http://virusinfo.info/showthread.php?t=8903

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    e:\windows\system32\wmdrtc32.dll - Email-Worm.Win32.Warezov.et (По Kaspersky)
    Остальные в карантин не попали

    Выполните такой скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('E:\WINDOWS\system32\wmdconf32.dll','');
     QuarantineFile('E:\WINDOWS\system32\win26825.dll','');
     QuarantineFile('E:\WINDOWS\killcopy.dll','');
     QuarantineFile('e:\program files\ultranet\auth\aaa.exe','');
     DeleteFile('e:\windows\system32\wmdrtc32.dll');
     BC_ImportALL;
     ExecuteSysClean; 
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки пришлите файлы карантина по правилам раздела "Помогите". Повторите логи, а также добавьте файл boot_clr.log из папки AVZ.

  7. #6
    Junior Member Репутация
    Регистрация
    09.04.2007
    Сообщений
    18
    Вес репутации
    62
    А они в карантин почемуто и не попадают, я уже думал об этом.
    Сейчаз скрипт сделаю и выложу.
    программы killcopy и aaa это популярная качалка и авторизатор для инета соответственно. проверял их, ничего подозрительного.

  8. #7
    Junior Member Репутация
    Регистрация
    09.04.2007
    Сообщений
    18
    Вес репутации
    62
    Сделал все как вы описали, на 1 загрузку все пропало, Кав загрузился... Но после ребута все вернулось и опять та же беда.
    Выслал через форму вирус по правилам раздела "Помогите" и выложил новые логи.
    Постоянно в систем32 висит файл wmdrtc32.dl_, не распознается ничем как вредоносный обьект.
    При удалении wmdrtc32.dll иногда на его месте появляется wmdrtc32.bak
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    В логах активного Warezov нет. Сдается мне что он пролезает через расшаренные ресурсы (папки, диски). У Вас стоит Антивирус Касперского, он этот вирус детектит, следовательно от него Ваш компьютер должен быть защищенным. Советую разобраться с расшаренными ресурсами и запустить проверку Касперским загрузившись в безопасном режиме. Также если Вас не затруднит, выполните такую процедуру

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Скачате DrWeb CureIT (ссылка в правилах);
    Загрузитесь в Safe Mode (безопасный режим, жмакать F8 при загрузке);
    отсканируйте систему излечимое лечить, неизлечимое удалять.

    У Вас поражение файловым вирусом - Win32.Sector.28682 (DrWeb) (W32.HLLP.Sality-Symantec)


    pps Большая просьба не прикреплять зловредов к теме, для этого существует специальная форма для загрузки, см правила.

  11. #10
    Junior Member Репутация
    Регистрация
    09.04.2007
    Сообщений
    18
    Вес репутации
    62
    После того как появился вирус безапасный режим не грузится. когда жмякаю кнопку безопасного режима, идет секунд 5 загрузка и ребут..
    А касперский после загрузки живет не более 1 минуты. потом просто исчезает, как и фаерволл.
    А шар я не держу, так то врядли откудато он сливается

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Тогда сканируте систему в обычном режиме, только на время лечения, ни в коем случае, ничего кроме антивируса не запускайте, иначе получите повторное заражение вылеченных файлов. Сделайте сканирование как минимум два раза подряд.

    CureIT - ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

    http://www.freedrweb.com/cureit/

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Вы можете хотя бы на время лечения "прикрыть" расшаренные папки?

  14. #13
    Junior Member Репутация
    Регистрация
    09.04.2007
    Сообщений
    18
    Вес репутации
    62
    У меня нет шар, вообще.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    У меня нет шар, вообще.
    Должно быть я перепутал... Прошу прощения.

  16. #15
    Junior Member Репутация
    Регистрация
    09.04.2007
    Сообщений
    18
    Вес репутации
    62
    3 раза проверился Доктором вебом, который скачал по вашей ссылке, все 3 раза находит п 400+ инфицированых экзешников и вот этот файл: E:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\PdmHist\c08.2A12DC6C01C77B45.history\0000 0008.bak.
    Симптомы те же, программы мрут, касперсуий не пускается, безопасный режим не грузится. Доктор веб все файлы вроди как лечит, но тут же или после ребута пускаю еще раз все сканировать, находит тоже самое.
    АВЗ также находит файл E:\WINDOWS\system32\wmdrtc32.dll, но удалять его отказывается, даже после ребута
    Что делать дальше?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Да, надо диск цеплять к чистой машине и оттуда сканировать.

  18. #17
    Junior Member Репутация
    Регистрация
    09.04.2007
    Сообщений
    18
    Вес репутации
    62
    Сегодня на конец-то взял виндоус лайф-сд. Пустился с него, прверился доктором вебом, АВЗ; снес все файлы, которые раньше не мог удалить. Еще вчера засетил в диспетчере задач процесс _start.exe, которого раньше никогда не видел. Пробовал убивать с авторана, не помогло. С того же лайф-цд удалил все его запуски в реестре. Проверился еще раз- все чисто. Загрузился под своей системой, проверился - чисто, запускаются касперский и фаерволл. Но безопасный режим по прежнему не грузится, в чем может быть проблема?

    Всем спасибо за оказанную помощь!

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    A пилюлю N10 пробовали ? если нет, вот она :
    Выполнить скрипт в авз для восстановления безопасного режима :
    Код:
    begin
    ExecuteRepair(10);
    RebootWindows(false);
    end.

  20. #19
    Junior Member Репутация
    Регистрация
    09.04.2007
    Сообщений
    18
    Вес репутации
    62
    А что она делает? и почему когда пишешь RebootWindows(false); всеравно ребутится? ведь по идее должна система ребутиться только при значении True?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Ну я же написал для чего ..."для восстановления безопасного режима "
    Ну про false , я тоже так думал раньше .Однако это не так .режим false это перегрузка без корректного завершения программ,(что-то типа нажимания на кнопку reset .
    с true обычно долго ждать(пока все программы завершаться ) и иногда может всё зависнуть.Ну как , помогло после исполнения скрипта ?

  • Уважаемый(ая) NOOK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Файл wmdrtc32.dll заражен червем Email-Worm.Win32.Warezov.et
      От Denoolen в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 18.02.2010, 01:32
    2. Email-Worm.Win32.Warezov.hb.
      От wind086 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 29.10.2009, 13:05
    3. Email-Worm.Win32.Warezov.et
      От Neil в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 10.01.2007, 21:08
    4. Email-Worm.Win32.Warezov.dq
      От Art в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 07.12.2006, 18:08
    5. Email-Worm.Win32.Warezov.eu (.do)
      От for_igor в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.11.2006, 16:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00344 seconds with 20 queries