Trojan.Msliksur.6 в файле "alil.dll". После удаления возобновляется

**tkach2** · 19.09.2009, 16:06

Сканером «Dr.Web CureIt» (jrsb8wjz.exe) обнаружен вирус Trojan.Msliksur.6 в C:\WINDOWS\system32\alil.dll. Я неоднократно удалял (этим же сканером) этот вирус, и файл «alil.dll» тоже исчезал вместе с ним, но через непродолжительное время alil.dll, с вирусом внутри, снова появлялся на том же месте. Другие сканеры и утилиты, а также NOD ESET SS 4 этот файл не видят. В проводнике Windows он тоже не виден, хотя в свойствах папки разрешено все. В окне поиска сканера «Dr.Web CureIt» этот файл видно, но только отчасти: там, где должен быть по алфавиту «alil.dll», расположен файл со значком "неизвестный" и без имени. Выбор и сканирование показывают, что это все-таки «alil.dll». Полностью виден (но не копируется) этот файл в окне поиска на сайте «Virus Total». И еще, сканер «Dr.Web CureIt» в безопасном режиме его не обнаруживает. Помогите, пожалуйста, избавиться от этой напасти! С большим уважением. Александр Ткач. 19.09.2009 14:58

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 19.09.2009, 16:12

Прочитайте и выполните правила.

**tkach2** · 19.09.2009, 16:24

Если Вы о добавленных файлах, то, извините, я исправился через пол-минуты. Так, небольшая ошибочка вышла.

Добавлено через 5 минут

Извините, за повтор, но я может не туда послал ответ. Я хочу сказать, что тут же добавил три необходимых файла. В первый раз нечаяно отправил без них. Смирено жду ответа. Александр

**Aleksandra** · 19.09.2009, 16:29

Выполните скрипт в AVZ:

Код:

begin
SetAVZPMStatus(True);
RebootWindows(true);
end.

Повторите лог virusinfo_syscheck.

Что это знаете?

E:\PortablePrograms\cr2-00-66\CR2.exe

Если нет, то запускать не нужно!

**tkach2** · 19.09.2009, 17:01

Скрипт выполнил. Что такое "E:\PortablePrograms\cr2-00-66\CR2.exe" знаю. Это неинсталлируемая программа для чтения текстов. Если она под подозрением, то я могу обойтись и без нее. Если надо удалю. Лог повторил и прилагаю. Но «alil.dll» вместе с вирусом «Trojan.Msliksur.6» по-прежнему на месте. Так что снова прошу помощи. Извините, за беспокойство и спасибо за участие! Александр. 19.09.2009 15:59

**Aleksandra** · 19.09.2009, 17:10

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SetAVZGuardStatus(True);
 DelBHO('{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5}');
 QuarantineFile('\systemroot\system32\drivers\aliserv.sys','');
 DeleteFile('\systemroot\system32\drivers\aliserv.sys');
 DeleteFile('crypts.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=55116

3. Повторите лог virusinfo_syscheck.

Добавлено через 2 минуты

Сообщение от tkach2

Что такое "E:\PortablePrograms\cr2-00-66\CR2.exe" знаю. Это неинсталлируемая программа для чтения текстов. Если она под подозрением, то я могу обойтись и без нее. Если надо удалю.

Нет, не надо.

Сообщение от tkach2

Но «alil.dll» вместе с вирусом «Trojan.Msliksur.6» по-прежнему на месте.

Я еще ничего не удаляла.

**tkach2** · 19.09.2009, 18:00

Спасибо, выполнил 2-й скрипт. Карантин выполнил по правилам и выслал по ссылке. Высылаю Log AVZ. «Alil.dll» остается. С нетерпением жду дальнейших указаний. Приятно с Вами сотрудничать. С благодарностью и уважением. Александр. 19.09.2009 16:55

**Aleksandra** · 19.09.2009, 18:07

Такой лог сделайте http://virusinfo.info/showthread.php?t=40118

**tkach2** · 19.09.2009, 18:41

Антируткит сканирует. Как закончит немедленно вышлю Log.

**tkach2** · 20.09.2009, 01:06

Александра, вот только сейчас, 20.09.2009 0:04, программа Gmer закончила сканирование. Высылаю Log. С нетерпением и благодарностью жду дальнейших указаний. Впрочем, я понимаю, выходные дни, … надо подождать. Хороших выходных!

А. Ткач

**Aleksandra** · 20.09.2009, 01:13

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\alil.dll','');
 DeleteFile('C:\WINDOWS\system32\alil.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=55116

3. Повторите логи.

**tkach2** · 20.09.2009, 02:37

Спасибо, Александра! После выполнения последнего скрипта файл “alil.dll” исчез. Выполнил стандартные скрипты. Но, когда выполнял "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info", забыл включить Internet Explorer. Если это важно, скажите, и я переделаю. Нужно ли повторное сканирование программой Gmer? Проблемы с вирусами были скрашены удовольствием работать с Вами! С уважением и восхищением.

А. Ткач 20.09.2009 1:32

**Aleksandra** · 20.09.2009, 02:45

Ничего зловредного в логах нет.

Пофиксите в HijackThis:

O20 - Winlogon Notify: crypt - C:\WINDOWS\

**tkach2** · 20.09.2009, 10:34

Выполнено успешно. Спасибо!

**CyberHelper** · 21.09.2009, 10:34

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Trojan.Msliksur.6 в файле "alil.dll". После удаления возобновляется (заявка № 55116)

Опции темы

Trojan.Msliksur.6 в файле "alil.dll". После удаления возобновляется

Правила выполнил!

Скрипт выполнил!

Результаты сканирования антируткитом Gmer

Логи после лечения

Итог лечения

Похожие темы

Проверка после удаления "Trojan.Killfiles.8477"

После удаления 7 троянов любые проги "не отвечают"

После лечения и снятия Логов "Backdoor.Trojan" "irdvxc.exe"

После удаления вируса открываются диски в "Моем компьютере" , НО !!!

После удаления вируса не открываются диски в "Моем компьютере"

Ваши права в разделе