Win32.HLLM.RoRo вроде..

в общей локальной папке или в документах
появляются файлы типа:
VirtualRape3D.exe
VirtualRape3.0.exe
SexSpy3D.exe

сканю др. вебом
находит вышеуказанные файлы.. инфицированные..
удаляю.. потом через какое-то время они опять появляются..

причем др. веб сканер в общем сканировании находит файлы вновь созданные вирусные...
а если зайти в папку с вирусным файлом, нажать на нем правой кнопкой мыши "проверить Dr. Web" не находит ничего.


"Win32.HLLM.RoRo" статус этих файлов...

Зашел в винду в безопасном режиме, опять полностью просканил. нашел 2 файла удалил. перегрузил. сейчас они [B]вроде, [/B]не появляются..


winfile.dll поиском на компе не нахожу..

В какой последовательности избавляться от этого вируса?
Спасибо.

[URL="http://virusinfo.info/showthread.php?t=1235"]Прочитать и выполнить[/URL].

В принципе вирус лезет через общую папку. Так что надо либо расшарить только для чтения либо лечиться всем коллективом (всем пользователям локалки).

[quote=Maxim;122770][URL="http://virusinfo.info/showthread.php?t=1235"]Прочитать и выполнить[/URL].

В принципе вирус лезет через общую папку. Так что надо либо расшарить только для чтения либо лечиться всем коллективом (всем пользователям локалки).[/quote]
ок, сейчас сделаю.

в локалке только мой ноутбук и мой стационарный компьютер

сделал.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Oreans.sys','');
RebootWindows(false);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKCU\..\RunOnce: [FFTI] C:\Documents and Settings\Волченок\Application Data\Mozilla\Firefox\Profiles\3rsq5zcl.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Documents and Settings\Волченок\Application Data\Mozilla\Firefox\Profiles/3rsq5zcl.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}"[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите".

"Выполните скрипт в AVZ "
скрипт выполнил, написал что произведен без ошибок.
потом свернулись все окна, ярлыки и панель пуска, как при выключении или перезагрузке...
И всё, остался один фоновый рисунок рабочего стола.. ctrl alt del не реагировали... перезагрузки не произошло.. перегрузился reset'om

Это нормально?

Карантин прислали?

[B]Maxim[/B],
да!
Файл сохранён как 070715_131211_virus_4699e4eb4dc64.zip

Подскажите, пожалуйста, что мне дальше делать?

Присланные файлы чистые.

спасибо!

Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!

Ребят, ничего не помогло :(((

Сейчас опять куча файлов появилось!

[QUOTE]LaFemmeNikitav4.5.exe
Pam Anderson Theme v4.5.exe
VirtualRape3.0.exe
Lolita3.0.exe
Britney Suxx 3.0.exe
Strip Kournikova (Eng).exe[/QUOTE]

11 файлов :(( я в Ужасе :(((

Прямо сейчас делайте логи заново.

Подозреваю, что это случилось после простого включения ноута ( ноут + комп в сетке) ...
Мне тогда лучше перекинуть AVZ и HijackThis на ноутбук, проделать теже самые операции и выложить логи с обоих пк?

Для ноутбука тоже можете сделать логи,но чтобы небыло путаницы создайте для него новую тему.

новые логи

Я не вижу в логах ни чего плохого.

[quote=Maxim;123369]Я не вижу в логах ни чего плохого.[/quote]
а логах ноутбука?
[url]http://virusinfo.info/showthread.php?t=11060[/url]

и файлы вирусные exe остались!

[size="1"][color="#666686"][B]Добавлено через 5 минут[/B][/color][/size]
drweb-cureit после скана, сейчас, нашел около 20 таких файлов

статус Win32.HLLM.RoRo
и новый статус у некоторых файлов
[U]Win32.Sector.20480 [/U]- это что такое?
спасибо

[QUOTE='PaRaDoXX;123372']Win32.Sector.20480 - это что такое? [/QUOTE]
Файловый вирус. Сначала надо убить его - тем же CureIt.

[B]pig[/B], удалил, снова CureIt ... посмотрим появятся или нет...

[size="1"][color="#666686"][B]Добавлено через 9 часов 27 минут[/B][/color][/size]
В общем незнаю что делать :(
сейчас комп включил, опять пара подобных exe файлов в документах появилось:(

А время создания у них какое? Совпадает с включением? Или раньше образовались, до предыдущего выключения?

[quote=pig;123584]А время создания у них какое? Совпадает с включением? Или раньше образовались, до предыдущего выключения?[/quote]
хм.. не знаю, но разные даты создания у файлов:'-(

[size="1"][color="#666686"][B]Добавлено через 21 час 10 минут[/B][/color][/size]
в общем сейчас опять просканил cureit
удалил файлов 20 этих.. перегрузил комп.
жду.. полез в инет..
уже только что создалось опять 2 файла.. ( после включения компа прошло минут 5-10 )

[size="1"][color="#666686"][B]Добавлено через 4 минуты[/B][/color][/size]
не судьба мне комп вылечить? :( заново придется систему переустанавливать? (

И это не поможет. Вдувают по сети, скорее всего, через незаделанные дыры.

[quote=pig;123947]И это не поможет. Вдувают по сети, скорее всего, через незаделанные дыры.[/quote]

ну так раньше то все нормально было...
что ж теперь делать?


А может быть такое, что когда я комп в сеть с ноутом соединил, то создал , открыл общий доступ с папке с общими документами.
И теперь файлы лезут именно через локальную сеть провайдера?

[QUOTE='PaRaDoXX;124026']ну так раньше то все нормально было...[/QUOTE]
- Ребе, что было раньше - курица или яйцо?
- Раньше всё было (c)

[QUOTE='PaRaDoXX;124026']А может быть такое, что когда я комп в сеть с ноутом соединил, то создал , открыл общий доступ с папке с общими документами.
И теперь файлы лезут именно через локальную сеть провайдера?[/QUOTE]
Запросто. Действительно локальная сеть? И воткнута в хаб, куда и оба компьютера?

[quote=pig;124074]- Ребе, что было раньше - курица или яйцо?
- Раньше всё было (c)


Запросто. Действительно локальная сеть? И воткнута в хаб, куда и оба компьютера?[/quote]
есть корбина.. провайдер к которому я подключен... в ней соответственно локальная сеть, сетевой кабель воткнут в одну сетевуху ( встроенную в материнку)..

а вторая сеть между ноутом и компом, кабель воткнут в другую сетевуху... которую я отдельной платой поставил в системник...

На той сетевой карте, что смотрит в корбину, отключите Клиент для сетей Microsoft и Службу доступа к общим файлам и принтерам. Можно ещё в файрволе убрать исключения для этой карты.

[quote=pig;124138]На той сетевой карте, что смотрит в корбину, отключите Клиент для сетей Microsoft и Службу доступа к общим файлам и принтерам. Можно ещё в файрволе убрать исключения для этой карты.[/quote]
еще раз спасибо большое [B]pig!!!
[/B]я, тормознутый ламер, до этого не додумался сразу..
отключил и в свойствах локалки и в свойствах инета..
CureIt удалил вновь созданные файлы, вроде пока не появляются... (тьфу, тьфу, тьфу) :) посмотрим что завтра будет

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]