Вирус Win32.HLLP.whboy.origin.. вылечить не получается...

**BoozyWoozy** · 27.04.2009, 21:32

Мда... ну значит до завтра ))))

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**BoozyWoozy** · 28.04.2009, 09:35

Вот лог ГМЕРа

я оттяну на 2-3 часа ... будут идеи пишите.... потом реинстал системы но надеюсь до етого не дойдёт

**Rene-gad** · 28.04.2009, 10:02

Перед тем, как Вы начнете с переустановкой

- последний скрипт

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\drivers\cpqui.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\cpqui.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

**BoozyWoozy** · 28.04.2009, 10:58

можно я добавлю в карантин исчо один файлик?
он гад клонирует себя во все расшаренные по сети папки....

**Rene-gad** · 28.04.2009, 11:00

Сообщение от BoozyWoozy

можно я добавлю в карантин ....

Нужно

**BoozyWoozy** · 28.04.2009, 11:40

вот всё сделал....

**Rene-gad** · 28.04.2009, 12:12

У меня такое впечатление, что мы в решете воду носить пытаемся...

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('ClipSrv');
 StopService('xmqmawo');
 QuarantineFile('C:\WINDOWS\system32\Drivers\cpqui.sys','');
 QuarantineFile('C:\WINDOWS\java\classes\ccwinlogins.exe','');
 QuarantineFile('C:\WINDOWS\java\classes\classes.sys','');
 DeleteFile('C:\WINDOWS\java\classes\classes.sys');
 DeleteFile('C:\WINDOWS\java\classes\ccwinlogins.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\cpqui.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\TXPlatformm.exe');
 DeleteService('xmqmawo');
 DeleteService('ClipSrv');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('xmqmawo');
 BC_DeleteSvc('ClipSrv');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки повторите скрипт в безопасном режиме.
После перезагрузки:
-Пофиксите

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.9348.cn/?205418
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.9348.cn/?205418

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

**BoozyWoozy** · 28.04.2009, 13:21

- Включите Антвирус и Файрволл

издеваетесь? я бы с радостью если бы хоть один антивирь работал.........
по поводу Фиксов.... второй строчки при скане не обнаруженно......
первую профиксил успешно ... при повторном скане необнаружилась.....

Добавлено через 1 минуту

немогу залить логи..... пишет превышен размер на форуме

**Rene-gad** · 28.04.2009, 13:22

Сообщение от BoozyWoozy

немогу залить логи..... пишет превышен размер на форуме

http://virusinfo.info/profile.php?do=editattachments удалите самые старые вложения.

**BoozyWoozy** · 28.04.2009, 13:23

фух... разобрался вот логи и карантин

**BoozyWoozy** · 28.04.2009, 13:25

процесс TXPlatformm.exe по прежнему присутствует в диспечере...

**Rene-gad** · 28.04.2009, 13:31

Почитайте, это интересно: http://www.threatexpert.com/report.a...ac24188a5fa689

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\drivers\txplatformm.exe');
 DeleteFile('c:\windows\system32\drivers\txplatformm.exe');
 BC_DeleteFile('c:\windows\system32\drivers\txplatformm.exe');
ExecuteSysClean;
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.

- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

**BoozyWoozy** · 28.04.2009, 14:23

вот логи...

**Rene-gad** · 28.04.2009, 15:50

-Пофиксите

Код:

O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\system32\drivers\TXPlatformm.exe

- Выполните скрипт

Код:

begin
SetAVZGuardStatus(True);
 BC_DeleteSvc('ClipSrv');
 BC_DeleteFile('C:\WINDOWS\java\classes\classes.sys');
 BC_DeleteFile('C:\WINDOWS\java\classes\ccwinlogins.exe');
 BC_DeleteFile('c:\windows\system32\drivers\txplatformm.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

**Shu_b** · 28.04.2009, 16:12

Сообщение от Rene-gad

У меня такое впечатление, что мы в решете воду носить пытаемся...

Естественно, потому как файловый паразитический вирус вы и не начинали лечить...

Скачайте курит через пол часика, ваш зверёк должен определяться как Win32.HLLP.Whboy.111 и лечиться.

но зато сколько свежайшего выцеплено... вероятно тема будет лидером по количеству в отчётах киберхелпера.

**BoozyWoozy** · 28.04.2009, 16:23

)))) этот фикс делаю каждый раз как делаю скан .....

логи через мин 20 ибо работает AVP tool......

Добавлено через 8 минут

Сообщение от Shu_b

Естественно, потому как файловый паразитический вирус вы и не начинали лечить...

Скачайте курит через пол часика, ваш зверёк должен определяться как Win32.HLLP.Whboy.111 и лечиться.

но зато сколько свежайшего выцеплено... вероятно тема будет лидером по количеству в отчётах киберхелпера.

он у меня почти так и определялся... см.тему..... а вот насчет лечения (и в безобасном и вс ливСД никак ((( )

но за совет спасибо ибо моё терпение зеенд... если сёдня ничо не выйдет то формамт С: .....

**Shu_b** · 28.04.2009, 16:34

Сообщение от BoozyWoozy

он у меня почти так и определялся... см.тему.....

почти, да не так. Повтоюсь ещё раз, алгоритм лечения только добавлен.
до этого срабатывала своего рода эвристика, которая не знает как лечить данный тип заразы.

**BoozyWoozy** · 28.04.2009, 16:46

Сообщение от Shu_b

почти, да не так. Повтоюсь ещё раз, алгоритм лечения только добавлен.
до этого срабатывала своего рода эвристика, которая не знает как лечить данный тип заразы.

Обязательно после АВЗ сделаю проверку КУИТом и потом уж скрипт и логи.....

Добавлено через 1 минуту

но зато сколько свежайшего выцеплено...

))))) я рад что мы смогли помочь друг другу