digeste.dll

[n060dy]

Добрый день. Постоянно появляется ошибка "Приложение или библиотека C:\winsows\system32\digeste.dll не является образом программы для windows NT. Касперский находит Файл C:\WINDOWS\system32\digeste.dll, обнаружено: вирус 'Email-Worm.Win32.Iksmas.gen' но удалить не может.

Логи прилагаю:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[thyrex]

Добрый день. Постоянно появляется ошибка "Приложение или библиотека C:\winsows\system32\digeste.dll не является образом программы для windows NT. Касперский находит Файл C:\WINDOWS\system32\digeste.dll, обнаружено: вирус 'Email-Worm.Win32.Iksmas.gen' но удалить не может.

Логи прилагаю:

Здравствуйте

Отключите все защитное ПО (антивирус, файрволл), включите брандмауэр Windows. Автозапуск со сменных носителей и сетевых дисков будет отключен в скрипте

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\bfvlib.dll','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4xdxx.sys','');
DeleteService('ati4xdxx');
QuarantineFile('C:\WINDOWS\system32\zpx2.exe','');
DeleteService('winsecguard');
DeleteFile('C:\WINDOWS\system32\zpx2.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4xdxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\bfvlib.dll');
DeleteFile('F:\autorun.inf');
DelBHO('{ABC27B2B-B16E-40CE-9DA5-5D2E56F2011E}');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ Explorer','NoDriveTypeAutoRun', 221)
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('winsecguard');
BC_DeleteSvc('ati4xdxx');
BC_DeleteSvc('tcpsr');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Повторите логи

Изменено 20 марта, 2009 пользователем thyrex

[n060dy]

Спасибо.

 

ошибка больше не появляется и касперский этот вирус больше не находит.

 

ответ на письмо:

Здравствуйте,

digeste.dll - Email-Worm.Win32.Iksmas.gen

Этот файл определяется антивирусом. Обновите антивирусные базы.

[thyrex]

Повторите логи

[n060dy]

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[thyrex]

Зачистим еще кое-что. Автозапуск не отключился (видимо, был лишний пробел перед Explorer). F - ak'irf&

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\SecurityProviders', 'SecurityProviders');
DeleteFile('digeste.dll');
DeleteFile('F:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Повторите логи

 

AcrobatReader обновите до последней версии

Изменено 20 марта, 2009 пользователем thyrex

[n060dy]

спасибо за помощь

F:\autorun.inf - не вирус, это вакцина для USB флэшек от panda security. он из AVZ скорее всего не удалится.

логи чуть позже повторю.

[ТроПа]

Просто уберите тогда строчку DeleteFile('F:\autorun.inf');

P.S. АВЗ снесёт при перезагрузке, хотя можете поэкспереминтировать, потом "привьёте" ещё раз.