-
Junior Member
- Вес репутации
- 59
Не лечится WIN32.HLLP.ROX.11
Здравствуйте, я столкнулся со следующей проблемой: постоянно открываются разные японские сайты в IE. Блокируется запуск любого антивируса. Безопасный режим не запускается. AVZ и Hijack запускаются, но зависают при попытке снять логи.
Загрузился LiveCD, прогнал систему CureIT. Тот нашел файлы зараженные WIN32.HLLP.ROX.11. Все удалил, но после перезагрузки зараженные файлы остались на месте. Восстановление системы отключено. Воть и все. Логи снять не могу, вылечить тоже. Помогите пожалуйста, очень не хочется Format C:
Добавлено через 42 секунды
Ах да, переименование AVZ не помогает
Последний раз редактировалось Erase; 19.08.2008 в 01:08.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 59
Получилось сделать логи в AVZ. Прикрепляю
Последний раз редактировалось Erase; 22.10.2008 в 08:14.
-
Выполните скрипт в AVZ (evrika.pif):
Код:
begin
SetAVZGuardStatus(True);
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\NetApi000.sys');
DeleteFile('C:\WINDOWS\System32\drivers\alg.exe');
DeleteFile('C:\037589.log');
DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\pagefile.pif');
DeleteFile('D:\037589.log');
DeleteFileMask('c:\', 'lsass.exe.*', false);
DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(10);
RebootWindows(true);
end.
Компьютер перезагрузится.
MyCentria лучше удалите через установку/удаление программ.
Сделайте новые логи + прикрепите еще boot_clr.log из папки AVZ.
Проверьте, работает ли безопасный режим.
-
-
Junior Member
- Вес репутации
- 59
Выполнил скрипт. Антивирус заработал, безопасный режим - нет. Не совсем понял, что за приложение MyCentria.
Последний раз редактировалось Erase; 22.10.2008 в 08:13.
-
У Вас был хитрый червь Xorer. Честно говоря, еще сравнительно недавно даже мы не знали, как с ним бороться, но мы не сдавались и нашли ему противодействие
Он удален.
Почистим реестр и попробуем восстановить безопасный режим.
Выполните скрипт в AVZ:
Код:
begin
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
ExecuteSysClean;
ExecuteRepair(10);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи, начиная с пункта 10 правил.
Про Mycentria - http://www.mycentria.com/faq.html
Проверьте, работает ли безопасный режим.
-
-
Junior Member
- Вес репутации
- 59
Спасибо. Да уж интересный червь. У меня еще 4 машины с подобными симптомами...
Скрипт выполнил. Безопасный режим заработал.
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось Erase; 22.10.2008 в 08:13.
-
В логах чисто. Разве что, MyCentria (или ее остатки) видны, советую ее удалить (там на ее сайте обратите внимание на лицензионное соглашение, раздел приватность).
Вот это Вам знакомо?:
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E767F0E-D409-4782-AF52-9780A41BB0CB}: NameServer = 82.151.98.154 82.151.104.80
O17 - HKLM\System\CS1\Services\Tcpip\..\{2E767F0E-D409-4782-AF52-9780A41BB0CB}: NameServer = 82.151.98.154 82.151.104.80
Выполните пункт 2 правил (полная проверка CureIt!) на всякий случай.
P.S. Для лечения каждой машины - отдельная тема.
-