Вроде бы, чисто в логах. Какие-нибудь симптомы заражения остались? Для очистки совести: вот эти строчки:в файл hosts сами прописывали? Если нет, то AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:127.255.255.255 195.137.236.101 127.255.255.255 195.137.236.101И, все же, попробуйте дополнительно провериться Cureit! в безопасном режиме.Код:begin ClearHostsFile; end.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Нет-нет, в файл hosts ничего не прописывал. Сейчас выполню скрипт.Сообщение от Numb
К моему предыдущему сообщению об обнаружении КАВ-ом трёх зараженных файликов добавлю, что он удалил их.
По симптомам:
В каталоге \system32 вижу три оставшиеся .длл, совпадающие по предполагаемой дате заражения, по размеру (275Кб) и имеющие характерные названия (т.е. по две одинаковых буквы) и не имеющие цифровых подписей. Рядом с ними (при сортировке по времени) находятся файлы "параметры конфигурации" размером 353 байта.
Далее, в момент запуска IE проактивка КАВа буквально "захлёбывается" (сужу по индикатору загрузки процессора) от следующего:
27.04.2007 23:49:23 C:\WINDOWS\system32rundll32.exe Попытка загрузки нового или измененного модуля SpvHook.dll в процесс.
27.04.2007 23:49:23 C:\WINDOWS\system32\rundll32.exe Действие запрещено.
В качестве SpvHook.dll были и wl_hook.dll, correct.dll, winlogon.exe.
Запуск IE при этом основательно зависает. Да, чуть не забыл, -при его запуске выскакивает окно с названием "iexplorer.exe - Неверный образ" и содержимым окна " Приложение или библиотека с:\.....\agnitum\outpost...\wl_hook.dll не является образом ....для Windows NT. Проверьте назначение уст. диска."
А Cureit!-том сейчас попробую проверится, если удасться зайти в безопасный режим, ранее с этим были проблемы.
Спасибо за помощь.
С уважением.
Виноват, и правда, не заметил, что оутпоста нет активного. Если не сами его отключили на время создания логов, а он, действительно, был удален с машины, тогда, в дополнение, в программе hijackthis пофиксите строчки, в программе AVZ выполните следующий скрипт:Код:O9 - Extra button: <PRODUCT> Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll (file missing) O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dllВ дополнение, рекомендую просмотреть вот этот документКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\progra~1\agnitum\outpos~1\wl_hdlr.dll'); DeleteFile('c:\progra~1\agnitum\outpos~1\wl_hook.dll'); ExecuteSysClean; BC_ImportDeletedList; BC_Activate; RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Итак, похоже, всё благополучно завершилось!
Анализ программами VundoFix, VirtumundoBeGone и CureIt! не выявил более наличия на компьютере вирусных .dll . Ранее обнаруженные КАВ-ом .dll-ки были им-же и удалены. Тех упомянутых подозрительных я удалил из безопасного режима, в который теперь уже можно войти.
Для себя сделал несколько выводов, один из которых то, что вовсе не нужно сразу же форматировать диск, существуют более гуманные и щадящие, и что самое главное, более правильные методы борьбы с вирусами.
Хочу поблагодарить всех участвующих в этом топике и помогавших в решении этой проблемы и пожелать всего самого хорошего, успехов и удачи!
С уважением,
Андрей.
Статистика проведенного лечения:
- Получено карантинов: 5
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\cd_clint.dll - not-a-virus:AdWare.Win32.Cydoor.a (DrWEB: Adware.Cydoor.5)
- c:\\windows\\system32\\cd_load.exe - not-a-virus:AdWare.Win32.Cydoor.e (DrWEB: Adware.Cydoor.4)
- c:\\windows\\system32\\habuwoow.dll - not-a-virus:AdWare.Win32.Virtumonde.anaa (DrWEB: BackDoor.Iterator)
- c:\\windows\\system32\\mlljj.dll - not-a-virus:AdWare.Win32.Virtumonde.fp (DrWEB: Trojan.Virtumod)
Уважаемый(ая) AndyR0, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
