Win32.HLLM.RoRo вроде..

[PaRaDoXX]

в общей локальной папке или в документах
появляются файлы типа:
VirtualRape3D.exe
VirtualRape3.0.exe
SexSpy3D.exe

сканю др. вебом
находит вышеуказанные файлы.. инфицированные..
удаляю.. потом через какое-то время они опять появляются..

причем др. веб сканер в общем сканировании находит файлы вновь созданные вирусные...
а если зайти в папку с вирусным файлом, нажать на нем правой кнопкой мыши "проверить Dr. Web" не находит ничего.


"Win32.HLLM.RoRo" статус этих файлов...

Зашел в винду в безопасном режиме, опять полностью просканил. нашел 2 файла удалил. перегрузил. сейчас они вроде, не появляются..


winfile.dll поиском на компе не нахожу..

В какой последовательности избавляться от этого вируса?
Спасибо.

[Макcим]

Прочитать и выполнить.

В принципе вирус лезет через общую папку. Так что надо либо расшарить только для чтения либо лечиться всем коллективом (всем пользователям локалки).

[PaRaDoXX]

Прочитать и выполнить.

В принципе вирус лезет через общую папку. Так что надо либо расшарить только для чтения либо лечиться всем коллективом (всем пользователям локалки).

ок, сейчас сделаю.

в локалке только мой ноутбук и мой стационарный компьютер

[PaRaDoXX]

сделал.

[Макcим]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\Oreans.sys','');
RebootWindows(false);
end.

"Пофиксите" в HijackThis

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O4 - HKCU\..\RunOnce: [FFTI] C:\Documents and Settings\Волченок\Application Data\Mozilla\Firefox\Profiles\3rsq5zcl.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Documents and Settings\Волченок\Application Data\Mozilla\Firefox\Profiles/3rsq5zcl.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}"

Пришлите файлы карантина по правилам раздела "Помогите".

[PaRaDoXX]

"Выполните скрипт в AVZ "
скрипт выполнил, написал что произведен без ошибок.
потом свернулись все окна, ярлыки и панель пуска, как при выключении или перезагрузке...
И всё, остался один фоновый рисунок рабочего стола.. ctrl alt del не реагировали... перезагрузки не произошло.. перегрузился reset'om

Это нормально?

[Макcим]

Карантин прислали?

[PaRaDoXX]

Maxim,
да!
Файл сохранён как 070715_131211_virus_4699e4eb4dc64.zip

[PaRaDoXX]

Подскажите, пожалуйста, что мне дальше делать?

[Макcим]

Присланные файлы чистые.

[PaRaDoXX]

спасибо!

[Макcим]

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

Удачи!

[PaRaDoXX]

Ребят, ничего не помогло ((

Сейчас опять куча файлов появилось!

LaFemmeNikitav4.5.exe
Pam Anderson Theme v4.5.exe
VirtualRape3.0.exe
Lolita3.0.exe
Britney Suxx 3.0.exe
Strip Kournikova (Eng).exe

11 файлов ( я в Ужасе ((

[pig]

Прямо сейчас делайте логи заново.

[PaRaDoXX]

Подозреваю, что это случилось после простого включения ноута ( ноут + комп в сетке) ...
Мне тогда лучше перекинуть AVZ и HijackThis на ноутбук, проделать теже самые операции и выложить логи с обоих пк?

[Muzzle]

Для ноутбука тоже можете сделать логи,но чтобы небыло путаницы создайте для него новую тему.

[PaRaDoXX]

новые логи

[Макcим]

Я не вижу в логах ни чего плохого.

[PaRaDoXX]

Я не вижу в логах ни чего плохого.

а логах ноутбука?
http://virusinfo.info/showthread.php?t=11060

и файлы вирусные exe остались!

Добавлено через 5 минут
drweb-cureit после скана, сейчас, нашел около 20 таких файлов

статус Win32.HLLM.RoRo
и новый статус у некоторых файлов
Win32.Sector.20480 - это что такое?
спасибо

[pig]

Win32.Sector.20480 - это что такое?

Файловый вирус. Сначала надо убить его - тем же CureIt.