Amhooker.dll

[Nike-lis]

Чтото сделал не так,эта гадость появилась снова. :D

Помогите пожадуйста!!!

[Matias]

Где же логи?

[Nike-lis]

Простите прилагаю.

[Nike-lis]

Где же логи?

Простите забыл.

[ser208]

После сканирования в HijackThis поставь галочку перед значением и нажми fix checked

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

В AVZ выполни скрипт.

beginSetAVZGuardStatus(True);SearchRootkit(true, true);QuarantineFile('C:\WINDOWS\Temp\mc23F.tmp','');DeleteFile('C:\WINDOWS\Temp\mc23F.tmp');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

И после перезагрузки еще один скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Получившийся карантин вышли пожалуйста мне в РМ.

Amhooker.dll

Да это "чистый" файл.

Наверное ПО для мыша или клавиатуры ставил.

Твой антивирус чисто по поведенческому анализу на него наверное окрысился :D

Изменено 21 сентября, 2008 пользователем ser208

[ser208]

Скачай утилиту

После запуска она распакуется в корень диска C:

Перейди в безопасный режим.

Запусти C:\SDFix\runthis.bat

Утилита начнет лечение.

После перезагрузки некоторое время она продолжит работу.

Получившийся после этого лог приложи сюда.

Изменено 21 сентября, 2008 пользователем ser208

[Nike-lis]

После сканирования в HijackThis поставь галочку перед значением и нажми fix checked

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

В AVZ выполни скрипт.

beginSetAVZGuardStatus(True);SearchRootkit(true, true);QuarantineFile('C:\WINDOWS\Temp\mc23F.tmp','');DeleteFile('C:\WINDOWS\Temp\mc23F.tmp');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

И после перезагрузки еще один скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Получившийся карантин вышли пожалуйста мне в РМ.

Amhooker.dll

Да это "чистый" файл.

Наверное ПО для мыша или клавиатуры ставил.

Твой антивирус чисто по поведенческому анализу на него наверное окрысился :D

Я не знаю как выслать.

[ser208]

Я не знаю как выслать.

Под моим ником кнопка "Приват".

Но скорее всего там ничего нет. Этот файл каждый раз меняется.

[Nike-lis]

Не получается выслать карантин,на всякий случай проверил мышь a4tech X7 лазерная.

Там 6 файлов попавших под подозрение AVZ и моей AVIRA, все dll, некоторые начинаются Am.

SuperCopier2 у меня стоит в Program Files.Что это,он тоже попал под подозрение,там SC2Hook.dll.

Если эта проблема в мыши,можно ли удалить карантин?

Кстати проблема началась после реального Amchookera от которого я избавился.

Curelt при общей и полной проверки ничего не обнаружил, а AVZ подозревает.

Посоветуйте что делать.Поменять мышь,или антивирус? Avira предлагает русверсию за 12$,не дёшево ли?,

или поддержать отечественного производителя? ;)

Хм,а файл чист по логам которые я выслал?

[ser208]

SDFix запускал?

З.ы. уж лучше отечественного производителя ;)

Изменено 22 сентября, 2008 пользователем ser208

[Nike-lis]

Запускал но так ничего не понял,никаких логов не нашёл.

А что делать с этой фигнёй?Это мышь или кто? :)

[ser208]

Запускал но так ничего не понял,никаких логов не нашёл.

А что делать с этой фигнёй?Это мышь или кто? :)

Запускал в безопасном режиме? В обычном утилита не работает.

[Nike-lis]

Запустил таки,иот что нашёл.

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\mHotkey.exe','');QuarantineFile('C:\WINDOWS\Temp\mc241.tmp','');DeleteFile('C:\WINDOWS\Temp\mc241.tmp');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Amhooker.dll - драйвер мыши.....запакуйте в архиве с паролем virus и пришлите мне скажу точнее.

[Nike-lis]

Не могу выполнить скрипт,не вижу что писать.

Запустил АВЗ в безопасном режиме и получил новые логи.

[Nike-lis]

Не могу выполнить скрипт,не вижу что писать.

Запустил АВЗ в безопасном режиме и получил новые логи.

[akoK]

Не могу выполнить скрипт,не вижу что писать.

С этого места подробнее....что не получается

Запустил АВЗ в безопасном режиме и получил новые логи.

А где Вы прочитали, что AVZ должна запускаться из безопастного режима? :)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\Temp\mc241.tmp');DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\R2UZUZY3\M3K8FECA58Y1FFCAO1O4D8CAP4HPDECANU1DWECAU16ZZTCAMF6D6YCA95MU9JCA9RIIA6CA9OK9CFCADTHBXXCA45467CCA9KHEYPCAW393HKCAILNG5LCA4OHL0LCA5HP6NTCAG1IYX8CAXFEJEXCAK7TPAA.htm');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Давайте так:

1) Опишите пожалуйста проблему.

2) Активируйте AVZPM (AVZ - AVZPM) перезагрузитесь.

3) Создайте еще раз комплект логов AVZ (спасибо, что обновили базы :) )

Изменено 23 сентября, 2008 пользователем akoK

[Nike-lis]

Я кое что не понимаю,скопировать ниже написаный скрипт,это тот код begin и тд.

Если я сейчас правильно понял то тогда начну всё с чистого листа,чтобы небыло недоразумений.

Curelt в бузопасноь режиме,или вобычном с последующей полной проверкой?

[akoK]

Как выполнить скрипт AVZ

Curelt в бузопасноь режиме,или вобычном с последующей полной проверкой

Нет давайте сразу с AVZ :)

[Nike-lis]

Получил новые логи,теперь попытаюсь выполнить слрипт.

[akoK]

Ничего явно подозрительного не вижу.

[Nike-lis]

Выполнить скрипт так и не получауеся,в выделеной сетке нажимаю правою кнопку.,

сетка с действиями вся мутная,никаких выделеных скриптов.

Он все равно подозревает Amchooker.dll,может это всётаки мышь?

6-ть файлов ставит в карантин по подозрению, но не этих.

Файлы моей мыши:Amouchlr.dll

Amoumain

Amoures.dll

Amsample.dll

Gamektrl.dll

Gskchook.dll

Setuphk.dll, ну и там ущё...

SuperCopier 2,тоже ему не нравится, он стоит в програмных файлах (написано утилита)

Так что же делать,удолять карантин и не обращать внимание до первых подснежников? :)

[ser208]

Я кое что не понимаю,скопировать ниже написаный скрипт,это тот код begin и тд.

Извиняюсь, это моя недоработка. Не объяснил сразу, как скрипт выполнить.

Просто, судя по первому сообщению...

Чтото сделал не так,эта гадость появилась снова.

Помогите пожадуйста!!!

.. я подумал, что пользователь уже имел дело с подобным лечением на сайте.

Изменено 23 сентября, 2008 пользователем ser208

[akoK]

Nike-lis: проверил присланные файлы....там все чисто

[Nike-lis]

Да. Сталкивался,но делал всё методом тыка,что-то забывал отключить,что-то обновить.

Сейчас всё сделал по пунктам.И всё же,что это? :blush2:

Помогите пожалуйста,очень прошу!