Здравствуйте!
Прицепился win32.HLLW.Lime.18.
Удаляю Др.Вебом, через некоторое время всё появляется опять.
на скриншоте показано что и где находит др.веб
Быть может вы сможете чем-то помочь?
как указано в правилах, прикрепляю логи
Здравствуйте!
Прицепился win32.HLLW.Lime.18.
Удаляю Др.Вебом, через некоторое время всё появляется опять.
на скриншоте показано что и где находит др.веб
Быть может вы сможете чем-то помочь?
как указано в правилах, прикрепляю логи
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}'); QuarantineFile('C:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\system32.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0282844052-6545269000-286614020-7184\mwau.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\ktalk.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\AsInsHelp32.sys',''); DeleteFile('C:\RECYCLER\S-1-5-21-0282844052-6545269000-286614020-7184\mwau.exe'); DeleteFile('C:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\system32.exe'); DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll'); BC_ImportAll; ExecuteRepair(9); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Повторите логи.
спасибо за оперативность!!!
карантин выслал!
файл сохранён как 090825_171404_virus_4a93e39cbd01b.zip, если это вдруг нужно
логи прикрепил
а вообще известно что за вирус такой этот win32.hllw.lime.18? ну в смысле на что он влияет?
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('c:\windows\win7service.exe',''); TerminateProcessByName('c:\windows\win7service.exe'); DeleteFile('c:\windows\win7service.exe'); DeleteFile('C:\WINDOWS\win7service.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportDeletedList; ExecuteRepair(9); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).
Пофиксите:
Повторите логи.Код:O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\win7service.exe R3 - URLSearchHook: (no name) - - (no file)
сдедал!
но как ни странно, процесс win7service.exe так и висит в процессах...
да, и прямо в корне диска С лежит файл 11.exe
который ну прям 100% не должен там быть, я его удаляю а он появляется вновь! всё тот же самый win32.HLLW.Lime.18
надеюсь, что ваши советы мне помогут!
Выполните:
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('c:\windows\win7service.exe',''); TerminateProcessByName('c:\windows\win7service.exe'); DeleteFile('c:\windows\win7service.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите логи.
готово! но чую что это ещё не всё..
Выполните:
ПК перезагрузится.Код:begin RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RebootWindows(true); end.
Повторите лог по п. 2 диагностики
скрипт выполнил
логи прикрепил
что дальше?
хм, временно скрипты помогали, но теперь всё по-прежнему.
поставил надежный пароль на администратора
брэндмауэром windows предпочитаю не пользоваться (стоит nod32)
но собственно червь до сих пор попадает ко мне на компьютер
по моим наблюдениям это происходит именно при подключении интернета
подскажите пожалуйста что делать?
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-0282844052-6545269000-286614020-7184\mwau.exe - Email-Worm.Win32.BSpread.b ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/Peerfrag.DD worm, AVAST4: Win32:Crypt-EXW [Trj] )
- c:\windows\win7service.exe - Trojan-Downloader.Win32.Pher.v ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/AutoRun.IRCBot.BN worm, AVAST4: Win32:Crypt-EXW [Trj] )
Уважаемый(ая) manki!!, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.