Printable View
Помогите, пожалуйста. Cureit распознает как win32.HLLP.rox.11
-Из процессов не убираются lsass.exe и smss.exe,
-При попытке пробить в поисковике "Вирус lsass.exe" отключается браузер.
-Иногда произвольно открывается окно Internet Explorer и заходит на какие-то китайские сайты..
-Все антивирусы блокируются, а при попытке удалить через Cureit перезагружается комп..
- В безопасный режим не входит. :(
Я в отчаянии и не знаю как изгнать эту заразу..
Здравствуйте.
Пожалуйста, сделайте логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL].
AVZ виснет во время проверки..
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
[CODE]begin
ExecuteStdScr(2);
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится. После перезагрузки в папке с AVZ образуется папка LOG. Выберите подпапку с текущей датой и приложите к следующему сообщению файл virusinfo_syscheck.zip
Скачал переименнованый AVZ, сделал логи. А вот hijackthis.log не могу сохранить лог (и даже с переименованной версией), также виснет..
[QUOTE]Протокол антивирусной утилиты AVZ версии 4.32[/QUOTE]
Это старая версия AVZ.
Скачайте актуальную версию AVZ - 4.35 [URL="http://z-oleg.com/avz.exe"]отсюда[/URL].
Скачанный файл переименуйте в game.pif
Запустите на выполнение от имени администратора и сделайте логи.
Готово.
Отключите:
-ПК от интернета
-Все защитные приложения
Подключите:
-Диск D:\
-Диск E:\
-Диск F:\
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\com\smss.exe');
TerminateProcessByName('c:\windows\system32\com\lsass.exe');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\pagefile.pif','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.29703.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.29562.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27171.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26578.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26218.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26187.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.25062.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.24531.exe','');
QuarantineFile('C:\Program Files\VPets\VPets.exe','');
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
QuarantineFile('c:\windows\system32\com\smss.exe','');
QuarantineFile('c:\windows\system32\com\lsass.exe','');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\Program Files\VPets\VPets.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.24531.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.25062.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26187.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26218.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.26578.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.27171.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.29562.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\~.exe.29703.exe');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFileMask('C:\Program Files\VPets', '*.*', true);
DeleteDirectory('C:\Program Files\VPets');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
Отослал quarantine.zip. А вот и повторные логи.
Отключите:
-ПК от интернета
-Все защитные приложения
Подключите:
-Диски D,E,F.
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\lsass.exe.37921.exe');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\~.exe.40390.exe','');
QuarantineFile('C:\NetApi000.sys','');
QuarantineFile('c:\lsass.exe.37921.exe','');
DeleteFile('c:\lsass.exe.37921.exe');
DeleteFile('C:\NetApi000.sys');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\~.exe.40390.exe');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
Отослал quarantine.zip. Сделал логи.
Отключите:
-Все защитные приложения
Подключите:
-Диски D,E,F.
Выполните скрипт в AVZ:
[CODE]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\com\smss.exe');
TerminateProcessByName('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\NetApi000.sys');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Сделайте повторные логи.
Сделайте [URL="http://virusinfo.info/showthread.php?t=53070"]лог MBAM[/URL].
Повторные логи. Сейчас делаю полную проверку через MBAM и по окончанию выложу лог.
Лог MBAM. Из этого отчёта что-нибудь удалять?
Компьютер поражен файловым вирусом.
Попробуйте так:
Скачайте еще раз свежий CureIt.
Закройте все приложения, запустите AVZ, в нем меню AVZGuard - включить AVZGuard.
Далее меню AVZGuard - Запустить приложение как доверенное - запустите CureIt и сделайте им полное сканирование всех дисков, включая флешки (перед сканированием их подключите).
Все что найдется - лечить, что неизлечимо - удалить.
AVZGuard при этом будет блокировать многие операции на компьютере. Чтобы его отключить после сканирования - меню AVZGuard - Отключить AVZGuard.
После этого сделайте новые логи и приложите в теме.
Я в MBAM после полной проверки удалил вирусню и из процессов smss.exe и lsass.exe пропали.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 22 минуты[/I][/B][/color][/size]
Неа.. Снова появились. Проблема не решена.
CureIt'ом лечить пробовали, как советовал [B]Nikkollo[/B]?
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Лог ComboFix.
Теперь еще раз сделайте логи AVZ и HiJack