-
Junior Member
- Вес репутации
- 66
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пришлите для начала следующие файлы на анализ согласно правилам:
C:\WINDOWS\system32\mscoree.dll
C:\Program Files\Common Files\ReGet Shared\Catcher.dll
statdss.dll
iasamsre.dll
e1.dll
diagdss.dll
confaud.dll
cfgdss.dll
audstat.dll
audmgr32.dll
___synmgr.exe
C:\WINDOWS\system32\audconf.exe
C:\WINDOWS\system32\dssconf.exe
C:\WINDOWS\system32\atkcadpt.dll
C:\WINDOWS\system32\statdss.dll
C:\WINDOWS\System32\iasamsre.dll
C:\WINDOWS\System32\glu3panm.dll
C:\WINDOWS\System32\diagdss.dll
C:\WINDOWS\System32\confaud.dll
C:\WINDOWS\SYSTEM32\cfgdss.dll
c:\windows\system32\atkcadpt.exe
Поместить эти файлы в карантин поможет скрипт AVZ (Файл\Выполнить скрипт):
Код:
begin
QuarantineFile('c:\windows\system32\atkcadpt.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\cfgdss.dll','');
QuarantineFile('C:\WINDOWS\System32\confaud.dll','');
QuarantineFile('C:\WINDOWS\System32\diagdss.dll','');
QuarantineFile('C:\WINDOWS\System32\glu3panm.dll','');
QuarantineFile('C:\WINDOWS\System32\iasamsre.dll','');
QuarantineFile('C:\WINDOWS\system32\statdss.dll','');
QuarantineFile('C:\WINDOWS\system32\atkcadpt.dll','');
QuarantineFile('C:\WINDOWS\system32\dssconf.exe','');
QuarantineFile('C:\WINDOWS\system32\audconf.exe','');
QuarantineFile('___synmgr.exe','');
QuarantineFile('audmgr32.dll','');
QuarantineFile('audstat.dll','');
QuarantineFile('cfgdss.dll','');
QuarantineFile('confaud.dll','');
QuarantineFile('diagdss.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('iasamsre.dll','');
QuarantineFile('statdss.dll','');
QuarantineFile('C:\Program Files\Common Files\ReGet Shared\Catcher.dll','');
QuarantineFile('C:\WINDOWS\system32\mscoree.dll','');
end.
-
-
Junior Member
- Вес репутации
- 66
-
Из присланного
Стандартный набор последних недель - Warezov aka Limar aka Stration
C:\WINDOWS\system32\iasamsre.dll
C:\WINDOWS\System32\glu3panm.dll
C:\WINDOWS\system32\confaud.dll
c:\windows\system32\atkcadpt.exe
C:\WINDOWS\system32\atkcadpt.dll
C:\WINDOWS\system32\audconf.exe
C:\WINDOWS\Downloaded Program Files\popcaploader.dll -
всех их нужно удалить через отложенное удаление в программе AVZ.
-
-
Так же пофиксить ( http://virusinfo.info/showthread.php?t=4491 ):
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - AppInit_DLLs: iasamsre.dll e1.dll diagdss.dll statdss.dll confaud.dll audstat.dll
O20 - Winlogon Notify: atkcadpt - C:\WINDOWS\system32\atkcadpt.dll
O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)
O20 - Winlogon Notify: dssconf - C:\WINDOWS\SYSTEM32\cfgdss.dll
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
-
-
Junior Member
- Вес репутации
- 66
не долго я радовался .... эти фиксы я начал делать , там выскочила ошибка какая-то , я ребутнул комп , хотел было уже попробывать заново , но там этих строк уже не оказалось О_о кроме поседнего (O23 - Service: Power Manager) Комп опять начал грузиться , даже еще сильнее.......что это моглы бы быть?
Последний раз редактировалось MrGrey; 05.11.2006 в 22:41.
-
-а как на счёт файлов из списка предложенного коллегой Shu_b, Вы их удалили?.. впрочем, в любом случае нужны свежие логи...
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Junior Member
- Вес репутации
- 66
файлы удалял , и сначала все получилось , но позже по не известным причинам все возобновилось, правда немного теперь поменьше начал грузиться комп. Вот новые логи
Последний раз редактировалось MrGrey; 24.11.2006 в 18:34.
-
Удалите файлы скриптом (будет перезагрузка):
Код:
begin
QuarantineFile('C:\WINDOWS\system32\MF_ARB~1.SCR','');
QuarantineFile('C:\WINDOWS\system32\___synmgr.exe','');
DeleteFile('C:\WINDOWS\system32\diagdss.dll');
DeleteFile('C:\WINDOWS\system32\statdss.dll');
DeleteFile('C:\WINDOWS\system32\MF_ARB~1.SCR');
DeleteFile('C:\WINDOWS\system32\dssconf.exe');
ExecuteSysClean;
RebootWindows(True);
end.
После перезагрузки пришлите то, что будет в карантине AVZ, согласно Правил (см. в самом конце)
Адрес Вашей темы (для отправки) - http://www.virusinfo.info/showthread.php?t=6661
Затем проверьте и, если останется, пофиксите в hijackthis:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
И сделаете логи.
Что-то файерволла у Вас не видно. Если нет, очень стоило бы поставить - перестанете получать из сети всё что ни попадя.
-
-
Junior Member
- Вес репутации
- 66
1)файрволл есть , но тока он систему грузит и раздрожают постоянные табличики , это нкиак нельзя упростить? чтобы он молча все делал
2)после всего проделанного , сказанного вами выше, svchost начал странно много занимать оО . Щас зделаю логи , с врубденным фаерволлом
З.Ы. Когда я фиксю в hijackthis , после этого вылазиет табличка какаято , там надо нажимать ДА или НЕТ? я обычно нажимаю ДА.
-
Junior Member
- Вес репутации
- 66
Последний раз редактировалось MrGrey; 24.11.2006 в 18:34.
-
Ничего вредного не вижу.
Файлы из карантина пришлите.
-
-
Junior Member
- Вес репутации
- 66
-
Большие. Сейчас посмотрю, что там.
ЗЫ: Два раза-то зачем ?
Файл скринсейвера C:\WINDOWS\system32\MF_Arbuznie_bashni_1280x1024.s cr никто не детектит, но мне он не нравится - зачем-то лезет на http://www.w3.org/. Возможно, что-то у него не чисто.
Лучше его больше не ставьте. А карантин у AVZ очистьте - удалите всё оттуда.
А ожидаемый файл ___synmgr.exe почему-то не попал в карантин. Найдите его поиском и отдельно пришлите, плиз.
Последний раз редактировалось Alexey P.; 07.11.2006 в 01:15.
-
-
Исчезли ли симптомы заражения - перезагрузки больше не повторяются ?
ЗЫ: Файерволл не отключайте. Если тормозит - пробуйте другой.
Иначе наловите добра.
-
-
Junior Member
- Вес репутации
- 66
1) ___syngmr странный вирус , он подгруживает систему , я его удалял раз 10 как минимум втечении месяца. Помоему у него есть чтото вроде вспомогательных файлов приме "____r" "____s" и т д . Все их удалял. бывает я могу найти эти файлы и сам ____syngmr , а бывает его вообще не видно Оо . Как его можно увидеть?
2) насчет перезагрузо к- прошло уже 2 ии 3 дня после вашего совета . и с тех пор пока ничего не происходило!" помоему ЭТИМ вирусом все получилось , спасибо , ато он мне итак прилично потрепал мозги )
3) насчет C:\WINDOWS\system32\MF_Arbuznie_bashni_1280x1024.s cr , по такому адресму не обнаружил , но по адресу \WINDOWS\MF_Arbuznie_bashni_1280x1024 нашелся , так будет нормально?
-
Junior Member
- Вес репутации
- 66
никто не может ответить на вопросы эти? Оо
-
Сообщение от
MrGrey
1) ___syngmr странный вирус , он подгруживает систему , я его удалял раз 10 как минимум втечении месяца. Помоему у него есть чтото вроде вспомогательных файлов приме "____r" "____s" и т д . Все их удалял. бывает я могу найти эти файлы и сам ____syngmr , а бывает его вообще не видно Оо . Как его можно увидеть?
Если не виден и он действительно есть - в AVZ будут видны его перехваты. Искать надо из AVZ "поиском файлов на диске" после снятия перехватов - т.е. после запуска сканирования (даже без выделения дисков - так быстрее) с установленными птичками "Блокировать работу RootKit".
2) насчет перезагрузок- прошло уже 2 ии 3 дня после вашего совета . и с тех пор пока ничего не происходило!" помоему ЭТИМ вирусом все получилось , спасибо , ато он мне итак прилично потрепал мозги )
Хорошо, если так. Найдете еще - заходите .
3) насчет C:\WINDOWS\system32\MF_Arbuznie_bashni_1280x1024.s cr , по такому адресму не обнаружил , но по адресу \WINDOWS\MF_Arbuznie_bashni_1280x1024 нашелся , так будет нормально?
Угу, там пробела в расширении файла (.scr) не должно быть. Это форум хулиганит - вставляет пробелы там, где их не должно быть.
Раз нашли - хорошо. Прибейте этот хранитель экрана.
-
-
Junior Member
- Вес репутации
- 66
Сообщение от
Alexey P.
Если не виден и он действительно есть - в AVZ будут видны его перехваты. Искать надо из AVZ "поиском файлов на диске" после снятия перехватов - т.е. после запуска сканирования (даже без выделения дисков - так быстрее) с установленными птичками "Блокировать работу RootKit".
Дико извиняюсь , но я не оч понял этот момент если вас не затруднит, можно немного поподробнее пожалуйста:00000504:
-
Сообщение от
MrGrey
Дико извиняюсь , но я не оч понял этот момент
если вас не затруднит, можно немного поподробнее пожалуйста:00000504:
Читайте справку AVZ:
Содержание
Работа с программой
Главное окно программы
Закладка "Параметры поиска"
-