Junior Member
Вес репутации
48
win32.HLLP.rox.11
Помогите, пожалуйста. Cureit распознает как win32.HLLP.rox.11
-Из процессов не убираются lsass.exe и smss.exe,
-При попытке пробить в поисковике "Вирус lsass.exe" отключается браузер.
-Иногда произвольно открывается окно Internet Explorer и заходит на какие-то китайские сайты..
-Все антивирусы блокируются, а при попытке удалить через Cureit перезагружается комп..
- В безопасный режим не входит.
Я в отчаянии и не знаю как изгнать эту заразу..
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Здравствуйте.
Пожалуйста, сделайте логи по правилам .
Junior Member
Вес репутации
48
AVZ виснет во время проверки..
Последний раз редактировалось KakkakaikakeN; 06.04.2011 в 17:27 .
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
Код:
begin
ExecuteStdScr(2);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки в папке с AVZ образуется папка LOG. Выберите подпапку с текущей датой и приложите к следующему сообщению файл virusinfo_syscheck.zip
Junior Member
Вес репутации
48
Скачал переименнованый AVZ, сделал логи. А вот hijackthis.log не могу сохранить лог (и даже с переименованной версией), также виснет..
Протокол антивирусной утилиты AVZ версии 4.32
Это старая версия AVZ.
Скачайте актуальную версию AVZ - 4.35 отсюда .
Скачанный файл переименуйте в game.pif
Запустите на выполнение от имени администратора и сделайте логи.
Junior Member
Вес репутации
48
Отключите:
-ПК от интернета
-Все защитные приложения
Подключите:
-Диск D:\
-Диск E:\
-Диск F:\
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\com\smss.exe');
TerminateProcessByName('c:\windows\system32\com\lsass.exe');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\pagefile.pif','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.29703.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.29562.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27171.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26578.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26218.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26187.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.25062.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.24531.exe','');
QuarantineFile('C:\Program Files\VPets\VPets.exe','');
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
QuarantineFile('c:\windows\system32\com\smss.exe','');
QuarantineFile('c:\windows\system32\com\lsass.exe','');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\Program Files\VPets\VPets.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.24531.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.25062.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26187.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26218.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26578.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27171.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.29562.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.29703.exe');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFileMask('C:\Program Files\VPets', '*.*', true);
DeleteDirectory('C:\Program Files\VPets');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин " наверху темы).
Сделайте повторные логи.
Junior Member
Вес репутации
48
Отослал quarantine.zip. А вот и повторные логи.
Отключите:
-ПК от интернета
-Все защитные приложения
Подключите:
-Диски D,E,F.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\lsass.exe.37921.exe');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\~.exe.40390.exe','');
QuarantineFile('C:\NetApi000.sys','');
QuarantineFile('c:\lsass.exe.37921.exe','');
DeleteFile('c:\lsass.exe.37921.exe');
DeleteFile('C:\NetApi000.sys');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\~.exe.40390.exe');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин " наверху темы).
Сделайте повторные логи.
Junior Member
Вес репутации
48
Отослал quarantine.zip. Сделал логи.
Вложения
Отключите:
-Все защитные приложения
Подключите:
-Диски D,E,F.
Выполните скрипт в AVZ:
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\com\smss.exe');
TerminateProcessByName('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\NetApi000.sys');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте повторные логи.
Сделайте лог MBAM .
Junior Member
Вес репутации
48
Повторные логи. Сейчас делаю полную проверку через MBAM и по окончанию выложу лог.
Junior Member
Вес репутации
48
Лог MBAM. Из этого отчёта что-нибудь удалять?
Компьютер поражен файловым вирусом.
Попробуйте так:
Скачайте еще раз свежий CureIt.
Закройте все приложения, запустите AVZ, в нем меню AVZGuard - включить AVZGuard.
Далее меню AVZGuard - Запустить приложение как доверенное - запустите CureIt и сделайте им полное сканирование всех дисков, включая флешки (перед сканированием их подключите).
Все что найдется - лечить, что неизлечимо - удалить.
AVZGuard при этом будет блокировать многие операции на компьютере. Чтобы его отключить после сканирования - меню AVZGuard - Отключить AVZGuard.
После этого сделайте новые логи и приложите в теме.
Junior Member
Вес репутации
48
Я в MBAM после полной проверки удалил вирусню и из процессов smss.exe и lsass.exe пропали.
Добавлено через 1 час 22 минуты
Неа.. Снова появились. Проблема не решена.
Последний раз редактировалось KakkakaikakeN; 06.04.2011 в 21:11 .
Причина: Добавлено
CureIt'ом лечить пробовали, как советовал Nikkollo ?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
48
Вложения
Теперь еще раз сделайте логи AVZ и HiJack
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect