Win32.HLLM.Perf.

Прислали письмо на английском с текстом (в переводе не точно, но суть та же) "Привет. Ты тут просил найти один файл, я нашел, посмотри его. Надеюсь это то что ты искал." В письме был прикреплен файл с расширением .exe помоему.
После этого, при входе в инет каждый раз теперь автоматически посылаются на разные адреса письма с файлом в формате hta. Сканировала Avast Antivirus он нифига не нашел. То письмо удалила с ящика. Просканировала утилитой от DrWeb - CureIT! вышло сообщение что найден вирус Win32.HLLM.Perf., в реестре удаляю csrss, он снова появляется. В диспечере задач висит svchost несколько процессов и занимают очень много памяти, а так же не много подозрительные процессы, csrss.exe, lsass.exe, smss.exe.

Пришлите, как написано в правилах -
[quote]
C:\Program Files\BX_memo\bx_memo.exe
C:\WINDOWS\RACLE~1\dvdplay.exe
C:\Program Files\Save\Save.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\Drivers\VcommMgr.sys
C:\WINDOWS\system32\SetupNT.sys
C:\WINDOWS\System32\Drivers\SCNDRVP.SYS
[/quote]

1. Выберите какой из антивирусов Вам больше нравится Avast или Нортон и удалите лbшний. Если оставите Avast то не забудьте включить или проверить что включен Фаервол встроенный в Windows (в настройках).

2. [url=http://virusinfo.info/showthread.php?t=4491]Пофиксите[/url] с помошью Hijack
[code]
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKCU\..\Run: [Enbo] "C:\WINDOWS\RACLE~1\dvdplay.exe" -vt yazb
O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
[/code]

3. Запустите AVZ и включите AVZGuard
Зайдите в "Файл"->"Восстановление системы" и выберите скрипт "Удаление отладчиков системных процессов"

4. Перезагрузитесь не выходя из AVZ и не выключая Guard.

5. Пришлите ещё файл C:\WINDOWS\csrss.exe ну и собственно сотрите его.

6. Повторите 2 последних лога из правил для проверки.

зашла в сеть, снова Avast выдает сообщение, опять тоже самое

Подозрительные расширения вложения
* Fotos.hta
Отправитель: "Lololily" <[email protected]>
Получатель: "Lololily" <[email protected]>
Тема: Hi! Please write to me urgently!

[QUOTE=bzyaka]зашла в сеть, снова Avast выдает сообщение, опять тоже самое[/QUOTE]

А из того, что я порекомендовал в предыдущем посте, что Вы попытались выполнить, кроме создания 2-х последних логов из пункта 6 ?

[QUOTE=RiC]А из того, что я порекомендовал в предыдущем посте, что Вы попытались выполнить, кроме создания 2-х последних логов из пункта 6 ?[/QUOTE]
сделала все что вы сказали, но вирус никак на это не отреагировал
потом проделал вот эту процедуру (нашла на каком-то сайте):
Удаление червя Win32.HLLM.Perf
Для лечения можно воспользоваться следующим набором:
а) Dr.Web CureIt ([url]http://download.drweb.com/drweb+cureit/[/url])
б) утилита Process Explorer ([url]http://www.sysinternals.com/Files/ProcessExplorerNt.zip[/url])
в) драйвер трезвой головы и контроллер прямых рук.
Если с пунктом в) есть сомнения, то лучше пригласите опытного товарища.

Дальнейшие действия (предполагается, что а) и б) уже скачены):
1) отключаемся от сети/internet. Закрываем все ненужные приложения.

2) распаковываем и инсталируем утилиту Process Explorer. Если в процессе инсталляции будет предупреждение о недостающем компаненте DebuggingTools - не пугайтесь, ето нормально.

3) Запускаем утилиту Process Explorer. По-умочанию, в верхней части окна Process Explorer расположено дерево процессов. Итак, опускаемся в самый низ сего дерева и находим 2 процесса по имени services.exe и один svchost .exe. Все эти процессы идут в дереве процессов один за одним в самом конце дерева. Внимание! в зависимости от модификации данного червя возможно появление одного процесса services.exe и двух svchost .exe.Но опять же - они расположены один за одним в самом конце дерева процессов.

4) После того как мы определили процессы червя в п. 3), необходимо их просто убить. Здесь нужно "бить больно, но аккуратно". Для етого в дереве процессов Process Explorerа выбираем нужный процесс из п 3) , далее правой кнопкой мыши по нему, выбираем "Kill". Эту простую операцию нужно проделать для всех трёх процессов из п. 3). Внимание!ВСЕГО ПРОЦЕССОВ ИМЕННО 3, НЕ 2 , НЕ 4...

5) Запускаем утилиту Dr.Web CureIt, либо, если имеется, антивирусный дисковый сканер. Цель проверки - директория С:\WINDOWS. Действие для объектов зараженных Win32.HLLM.Perf - удалить.

6) Запусаем редактор реестра Windows: Пуск-Выполнить-набираем regedit-ok. Ищем и аккуратно (!!!) удаляем ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Закрываем редактор реестра.

7) Далее рекомендую провести антивирусную проверку всей системы, т.к. мало ли что ещё подхватили.

ЭТО ПОМОГЛО!!!!!!!!!!