Здравствуйте! имеется SPY.delf.lk. при попытке его удаления слетает запуск exe файлов. Что мне делать?
Printable View
Здравствуйте! имеется SPY.delf.lk. при попытке его удаления слетает запуск exe файлов. Что мне делать?
AVZ меню - файл - Восстановление системы - Восстановление параметров запуска exe...
А вообще, надо было по [b][url=http://virusinfo.info/showthread.php?t=1235]Правилам[/url][/b] обращатся. Не известно что там у вас ещё есть.
Проверка компьютера AVZ ничего не дает! В диспетчере процессов 10 раз висит файл LCLASS.EXE. При проверке диска NoD - ом все exe шники заражены этим Win32.SPY.Delf.LK
[quote=Alexxx]Проверка компьютера AVZ ничего не дает![/quote]Проверка компьютера AVZ дает два лога. И где они?
Ну да извините.Вот они
Необходимо прислать согласно правилам:
c:\windows\system32\lclass.exe
C:\WINDOWS\system32\AdobePDF.dll
C:\Program Files\Common Files\Sony Shared\OpenMG\omgconv.dll
SVCHOTS.EXE (он вероятно найдется в папке Windows или System32)
PS: Базы AVZ не обновлены, он работает с древней базой от февраля, да и версия 4.16 уже вышла ...
ОК! обновлю AVZ, выложу новые логи. Потом перешлю нужные файлы
Обновил AZV. Новые логи
[QUOTE]Анализатор - изучается файл C:\WINDOWS\system32\LCLASS.EXE
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Размещается в системной папке
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
[/QUOTE]
Явный троян ... так что нужно прислать его и перечисленные в моем посте от 19:56 файлы, осле их исследования можно будет зачистить систему
Необходимый архив только что переслал. Спасибо
Файлы:
C:\windows\system32\svchots.exe
C:\windows\system32\lclass.exe
по Dr.Web - Win32.HLLP.DialPass
по KAV - Trojan-Spy.Win32.Delf.lk
Удалите их поочереди в AVZ - меню Файл - "Отложенное удаление файла" Перезагрузите компьютер и сделайте логи, начиная с 11-го пункта правил.
[B]Win32.HLLP[/B] - паразитический вирус. HLLP. Вирус поражает исполняемые файлы, не повреждая оригинальные данные файла - жертвы.
Лечить надо всю систему... (интересно есть алгоритм лечения... ? )
[QUOTE=Shu_b][B]Win32.HLLP[/B] - паразитический вирус. HLLP. Вирус поражает исполняемые файлы, не повреждая оригинальные данные файла - жертвы.
Лечить надо всю систему... (интересно есть алгоритм лечения... ? )[/QUOTE]
Вот это меня и удивляет! По всему получается что лаборатория Dr.Web ошиблась в классификации.
Хочется услашать коментарии экспертов.
И логи после удаления указанных файлов увидеть. :)
ну во первых не только DrWeb, но и Symantec
[QUOTE]Complete scanning result of "avz00001._ta", received in VirusTotal at 05.06.2006, 18:26:55 (CET).
Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 TR/Spy.Classes
Avast 4.6.695.0 05.05.2006 Win32:Trojan-gen. {UPX!}
AVG 386 05.05.2006 PSW.Generic.MYY
Avira 6.34.1.58 05.06.2006 TR/Spy.Classes
BitDefender 7.2 05.06.2006 Trojan.Spy.Delf.LK
CAT-QuickHeal 8.00 05.05.2006 no virus found
ClamAV devel-20060426 05.05.2006 no virus found
[B]DrWeb 4.33 05.06.2006 Win32.HLLP.DialPass[/B]
eTrust-InoculateIT 23.72.1 05.06.2006 no virus found
eTrust-Vet 12.4.2194 05.04.2006 no virus found
Ewido 3.5 05.06.2006 Logger.Delf.lk
Fortinet 2.71.0.0 05.06.2006 no virus found
F-Prot 3.16c 05.05.2006 no virus found
Ikarus 0.2.65.0 05.05.2006 Trojan-Spy.Win32.Delf.LK
Kaspersky 4.0.2.24 05.06.2006 Trojan-Spy.Win32.Delf.lk
McAfee 4756 05.05.2006 Generic PWS.b
Microsoft 1.1372 05.06.2006 no virus found
NOD32v2 1.1523 05.05.2006 Win32/Spy.Delf.LK
Norman 5.90.17 05.05.2006 W32/Agent.LVJ
Panda 9.0.0.4 05.06.2006 Trj/Agent.BGC
Sophos 4.05.0 05.06.2006 no virus found
[B]Symantec 8.0 05.06.2006 W32.HLLP.Arcer[/B]
TheHacker 5.9.7.139 05.05.2006 Trojan/Spy.Delf.lk
UNA 1.83 05.06.2006 Trojan.Spy.Win32.Delf
VBA32 3.11.0 05.06.2006 Trojan-Spy.Win32.Delf.lk[/QUOTE]
Во вторых уже было написано:
[QUOTE=Alexxx]Проверка компьютера AVZ ничего не дает! В диспетчере процессов 10 раз висит файл LCLASS.EXE. [B]При проверке диска NoD - ом все exe шники заражены этим Win32.SPY.Delf.LK[/B][/QUOTE]
pps. Самый реальный путь - это попробовать пролечить файлы с помощью CureIT!
Написать на [email][email protected][/email] с прозьбой добавить лечение... (тоже самое с любым вендором)
Логи выложу сегодня ночью или завтра утром!
Вполнил отложенное удаление exe файлы не запускаются
[QUOTE=Alexxx]Вполнил отложенное удаление exe файлы не запускаются[/QUOTE]
Попробуйте через ALT+Ctrl+Del запустить Task Manager из него - Файл->Выполнить-> AVZ из него выбрать Файл->Восстановление системы->Восстановление параметров запуска EXE файлов.
предлагает выбрать программу для открытия exe файла
Пуск->Выполнить -> [b]command.com [/b]
Должна запуститься консоль, проверьте если заработает - пойдём дальше в этом направлении.
Как вариант попытайтесь выбрать AVZ для открытия любого файла :) Если АВЗ запуститься - проделайте то, что я написал выше.
получилось!!!!! Щас просканирую - выложу логи
Опять в task managere этот Lclass
[QUOTE=Alexxx]Опять в task managere этот Lclass[/QUOTE]
А Norton у вас отключен что ли?
CureIT! проверял компьютер?
Службу восстановление системы отключили?
[QUOTE=Alexxx]получилось!!!!! Щас просканирую - выложу логи[/QUOTE]
Нашёл наконец [url=http://www.avp.ch/avpve/newexe/win32/arcer.stm]описание[/url], пакость ещё и заразная вдобавок.
Нужно: AVZ и CureIt
По идее алгоритм действий такой -
Запускаем AVZ, активируем AVZGuard (что-бы дальше не расползался)
Идём в "Сервис" - "Диспечер процессов"
находим процессы
"LCLASS.EXE"
"SVCHO[color=red]TS[/color].EXE" - не путать с законным "SVCHO[color=red]ST[/color].EXE"
Правой кнопкой - "Завершить"
Выполняем восстановление запуска EXE файлов.
Запускаем как доверенное приложение - Cureit, лечим, после перезагрузка не выходя из AVZ и не деактивируя Guard.
По идее так.
Спасибо! С помощью этого алгоритма удалось избавиться от этого ненавистного LCLASS.EXE всем СПАСИБО!! :)
CureIt вылечил 1079 файлов - все ехе - шники были инфицированы! Мне вот интересно, почему нортон антивирус не обнаруживал этого вируса, мало того он сам был этим вирусом заражен.
Крупные фирмы занимаются крупными проблемами. Что им какой-то там вирус. Я уж не помню, представители Семантека или Макафи написали что они не занимаются всякой ерундой, а в основном зловредами которые вызывают эпидемии или наносят большой вред.
P.S. И вообще, эффективность работы любой компании обратно пропорциональна её размеру.