Показано с 1 по 10 из 10.

Win32.HLLW.Autoruner.3438 и 4801 - Помогите справиться! (заявка № 35814)

  1. #1
    Junior Member Репутация
    Регистрация
    16.12.2008
    Сообщений
    5
    Вес репутации
    56

    Exclamation Win32.HLLW.Autoruner.3438 и 4801 - Помогите справиться!

    Пожалуйста, помогите справиться с вирусом.
    Создаются нулевые файлы khs и еще несколько названий, а также exe-файлы с произвольными именами типа lkzwbf.exe и т.п.
    На некоторые Dr. Web Spider Guard (4.44) реагирует в виде сообщений lkzwbf.exe - infected with Win32.HLLW.Autoruner.3438 или Win32.HLLW.Autoruner.4801 и удаляет, некоторые удаляю сам, но они все равно потом появляются. В последнее время начались сбои в системе.
    Выполнил сканирование с помощью Dr. Web LiveCD, а также Dr.Web Cure It в БП режиме. Ничего не нашлось.
    Выполнил указанные вами пункты. Прилагаю файлы журналов. Буду признателен за помощь.

    З.Ы. А сейчас еще qoadae.exe - infected with Trojan.Siggen.182 выскочило...
    Вложения Вложения
    Последний раз редактировалось red_house; 17.12.2008 в 00:25. Причина: новая информация

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: Explorer Object - {6F6E22C2-DAB8-A296-A82A-72369A54A423} - C:\WINDOWS\system\cudact32.dll (file missing)
    O4 - HKCU\..\Run: [svcshare] C:\WINDOWS\system32\drivers\spoclsv.exe
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {33331111-1131-1111-1111-611111193428} -
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system\cudact32.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spoclsv.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\spoclsv.exe');
     DeleteFile('C:\WINDOWS\system\cudact32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил, если будет не пуст
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=35814).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    16.12.2008
    Сообщений
    5
    Вес репутации
    56
    После выполнения скриптов и перезагрузки отобразилась ошибка

    Faulting application wfxswtch.exe, version 0.0.0.0, faulting module ntdll.dll, version 5.1.2600.2180, fault address 0x000118d0.

    Раньше ни разу не выскакивала.

    Карантин avz4 пуст. Файл spoclsv.exe удален уже давно (был инфицирован чем-то). Про файл cudact32.dll не знаю.

    Прилагаю новые логи.

    З.Ы. Только что снова выскочило sijcew.exe - infected with Win32.HLLW.Autoruner.4804.

    Хаус, вы ошиблись!
    Вложения Вложения
    Последний раз редактировалось red_house; 17.12.2008 в 17:03. Причина: Новая информация

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Faulting application wfxswtch.exe
    Сбой в программе WinFax. Если она не нужна, лучше просто удалить ее. Если же нужна, а ошибка повторяется - придется ее переустановить.

    Карантин avz4 пуст. Файл spoclsv.exe удален уже давно (был инфицирован чем-то). Про файл cudact32.dll не знаю.
    Хорошо, значит скрипт просто почистил реестр от их следов.

    Прилагаю новые логи.
    В логах чисто.

    Только что снова выскочило sijcew.exe - infected with Win32.HLLW.Autoruner.4804.
    Откуда-то приходит зловред, а антивирус его не пускает. Путь к файлу sijcew.exe был указан?
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    16.12.2008
    Сообщений
    5
    Вес репутации
    56
    Да, файлы появляются в двух определенных папках.
    D:\Oles\Job\
    D:\_Stock\
    Это не системные папки и не папки программ, просто папки с документами.

    ПК не подключен к локальной сети, внешние носители не используются, интернет через ADSL.
    Я проверил, файлы появляются из интернета. Я при этом никаких действий не выполняю - не открываю сайты, папки, не запускаю программы. Просто включаю интернет и через пару минут начинают скачиваться файлы.
    Установил NetLimiter. Когда начинается скачивание этих файлов, NetLimiter показывает трафик не напротив какой-то программы, а напротив абстрактного "System". IP-адреса, по которым указывается входящий трафик, всегда разные (91.124.115.158, 94.178.175.219, 92.113.68.120...), но все вроде как относятся к UKRTELNET (Ukrtelecom). Вообще-то, это мой провайдер ADSL.

    Теперь я запретил в NetLimiter входящий трафик для System. Наблюдаю, как пытаются установиться соединения с этими адресами, но NetLimiter их блокирует. Соответственно, файлы не появляются.

    Но ведь это не метод? Это ведь кто-то у меня в компе пытается с этих адресов качать зараженные файлы? Как бы его выщемить?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Так, имеем на борту руткит... ищите драйвер.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Сделайте в AVZ: AVZPM - Установить драйвер расширенного мониторинга.
    Перезагрузите компьютер и сделайте логи заново.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    16.12.2008
    Сообщений
    5
    Вес репутации
    56
    Выполнил!
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Увы, я не вижу, за что можно зацепиться. Могу посоветовать лишь установить SP3 и заплатки, вышедшие после него. Есть шанс, что поможет. В любом случае будет на пользу.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    16.12.2008
    Сообщений
    5
    Вес репутации
    56
    Спасибо за содействие.
    SP3 и вправду надо будет поставить.

  • Уважаемый(ая) red_house, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32.HLLW.Autohit.3438 и Win32.HLLW.Gavir.ini
      От parus в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.03.2009, 14:13
    2. Win32.HHLW.Autoruner.3438
      От Rogoff в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:57
    3. Win32.HLLW.Autoruner.corrupted / Win32.HLLW.Autoruner.5555 [Net-Worm.Win32.Kido.ih ]
      От heidelberg23 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:49
    4. Win32.HLLW.Autoruner.3438
      От Agregad в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 03.02.2009, 09:22
    5. Win32/Sality.NAU & Win32.HLLW.Autoruner.3438, 2905, 3321, 3912
      От Vlad_Bor в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 24.11.2008, 11:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00496 seconds with 18 queries