win32.HLLP.rox.11

**KakkakaikakeN** · 06.04.2011, 16:12

Помогите, пожалуйста. Cureit распознает как win32.HLLP.rox.11

-Из процессов не убираются lsass.exe и smss.exe,
-При попытке пробить в поисковике "Вирус lsass.exe" отключается браузер.
-Иногда произвольно открывается окно Internet Explorer и заходит на какие-то китайские сайты..
-Все антивирусы блокируются, а при попытке удалить через Cureit перезагружается комп..
- В безопасный режим не входит.

Я в отчаянии и не знаю как изгнать эту заразу..

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Acidorum** · 06.04.2011, 16:14

Здравствуйте.
Пожалуйста, сделайте логи по правилам.

**KakkakaikakeN** · 06.04.2011, 16:51

AVZ виснет во время проверки..

**Acidorum** · 06.04.2011, 17:18

Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:

Код:

begin
ExecuteStdScr(2);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки в папке с AVZ образуется папка LOG. Выберите подпапку с текущей датой и приложите к следующему сообщению файл virusinfo_syscheck.zip

**KakkakaikakeN** · 06.04.2011, 17:31

Скачал переименнованый AVZ, сделал логи. А вот hijackthis.log не могу сохранить лог (и даже с переименованной версией), также виснет..

**Acidorum** · 06.04.2011, 17:39

Протокол антивирусной утилиты AVZ версии 4.32

Это старая версия AVZ.
Скачайте актуальную версию AVZ - 4.35 отсюда.
Скачанный файл переименуйте в game.pif
Запустите на выполнение от имени администратора и сделайте логи.

**KakkakaikakeN** · 06.04.2011, 17:50

Готово.

**Acidorum** · 06.04.2011, 17:57

Отключите:
-ПК от интернета
-Все защитные приложения
Подключите:
-Диск D:\
-Диск E:\
-Диск F:\
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\com\smss.exe');
TerminateProcessByName('c:\windows\system32\com\lsass.exe');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\pagefile.pif','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.29703.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.29562.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27171.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26578.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26218.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26187.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.25062.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.24531.exe','');
QuarantineFile('C:\Program Files\VPets\VPets.exe','');
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
QuarantineFile('c:\windows\system32\com\smss.exe','');
QuarantineFile('c:\windows\system32\com\lsass.exe','');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\Program Files\VPets\VPets.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.24531.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.25062.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26187.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26218.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26578.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27171.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.29562.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.29703.exe');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFileMask('C:\Program Files\VPets', '*.*', true);
DeleteDirectory('C:\Program Files\VPets');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.

**KakkakaikakeN** · 06.04.2011, 18:15

Отослал quarantine.zip. А вот и повторные логи.

**Acidorum** · 06.04.2011, 18:20

Отключите:
-ПК от интернета
-Все защитные приложения
Подключите:
-Диски D,E,F.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\lsass.exe.37921.exe');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\~.exe.40390.exe','');
QuarantineFile('C:\NetApi000.sys','');
QuarantineFile('c:\lsass.exe.37921.exe','');
DeleteFile('c:\lsass.exe.37921.exe');
DeleteFile('C:\NetApi000.sys');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\~.exe.40390.exe');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.

**KakkakaikakeN** · 06.04.2011, 18:35

Отослал quarantine.zip. Сделал логи.

**Acidorum** · 06.04.2011, 18:43

Отключите:
-Все защитные приложения
Подключите:
-Диски D,E,F.
Выполните скрипт в AVZ:

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\com\smss.exe');
TerminateProcessByName('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\NetApi000.sys');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте повторные логи.
Сделайте лог MBAM.

**KakkakaikakeN** · 06.04.2011, 19:19

Повторные логи. Сейчас делаю полную проверку через MBAM и по окончанию выложу лог.

**KakkakaikakeN** · 06.04.2011, 19:32

Лог MBAM. Из этого отчёта что-нибудь удалять?

**Nikkollo** · 06.04.2011, 19:41

Компьютер поражен файловым вирусом.
Попробуйте так:
Скачайте еще раз свежий CureIt.
Закройте все приложения, запустите AVZ, в нем меню AVZGuard - включить AVZGuard.
Далее меню AVZGuard - Запустить приложение как доверенное - запустите CureIt и сделайте им полное сканирование всех дисков, включая флешки (перед сканированием их подключите).
Все что найдется - лечить, что неизлечимо - удалить.

AVZGuard при этом будет блокировать многие операции на компьютере. Чтобы его отключить после сканирования - меню AVZGuard - Отключить AVZGuard.

После этого сделайте новые логи и приложите в теме.

**KakkakaikakeN** · 06.04.2011, 21:11

Я в MBAM после полной проверки удалил вирусню и из процессов smss.exe и lsass.exe пропали.

Добавлено через 1 час 22 минуты

Неа.. Снова появились. Проблема не решена.