Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Win32.HLLW.Autoruner.437 (заявка № 13880)

  1. #1
    Junior Member Репутация
    Регистрация
    24.10.2007
    Сообщений
    46
    Вес репутации
    38

    Thumbs up Win32.HLLW.Autoruner.437

    Здравствуйте! У меня на компьютере обнаружился вирус -
    Win32.HLLW.Autoruner.437. Я пыталась удалить его самостоятельно, но у меня не получается. Все его проявления на данный момент сводятся к тому, что каждые 30 секунд SpiderGuard находит на дисках С и D файлы autorun.inf . При просмотре через блокнот видно, что через них загружается файл ntdelect.com, который тоже сидит в корнях дисков. При попытке их всех удалить через FarManager в безопасном режиме с отключенным восстановлением системы они заново восстанавливаются... Помогите пожалуйста! Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\eDStoolbar.dll','');
     QuarantineFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe','');
     QuarantineFile('appmgmts.dll','');
     QuarantineFile('autorun.bat','');
     QuarantineFile('autorun.inf','');
     QuarantineFile('C:\PROGRA~1\LAUNCH~1\PowerUtl.dll','');
    end.
    Пришлите затем карантин...

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     DeleteFile('C:\autorun.inf');     
     DeleteFile('D:\autorun.inf');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    проделайте это http://virusinfo.info/showthread.php?t=8877

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Да простят меня коллеги , я тоже предложу свой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\ntde1ect.com','');
    QuarantineFile('C:\autorun.inf','');
    QuarantineFile('C:\autorun.bat','');
     QuarantineFile('C:\WINDOWS\system32\avpo1.dll','');
     DeleteFile('C:\WINDOWS\system32\avpo1.dll');
    DeleteFile('C:\ntde1ect.com');
    DeleteFile('C:\autorun.inf');
    DeleteFile('C:\autorun.bat');
    DeleteFile('D:\ntde1ect.com');
    DeleteFile('D:\autorun.inf');
    DeleteFile('D:\autorun.bat');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Можете выполнить их все три по очереди,
    затем прислать карантин и сделать новые логи.
    Последний раз редактировалось Bratez; 05.11.2007 в 17:55. Причина: поправил скрипт
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    24.10.2007
    Сообщений
    46
    Вес репутации
    38
    Выслала. К сожалению, забыла скопировать информацию...

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Так, из присланного карантина:
    autorun.inf - Virus.Win32.Autorun.zr
    Запускается ntde1ect.com
    Чистые:
    C:\WINDOWS\system32\avpo1.dll
    C:\WINDOWS\system32\eDStoolbar.dll
    C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe
    C:\PROGRA~1\LAUNCH~1\PowerUtl.dll
    Последний раз редактировалось rubin; 05.11.2007 в 17:58.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    avpo1.dll - Trojan.Packed.142! (DrWeb)
    I am not young enough to know everything...

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Выполните отредактированный скрипт Bratez и вышлите карантин

    avpo1.dll - касперским не детектится... отправляю в ВирЛаб

  10. #9
    Junior Member Репутация
    Регистрация
    24.10.2007
    Сообщений
    46
    Вес репутации
    38
    Файл сохранён как071105_090052_virus_472f302497e8c.zipРазмер файла200869MD5e0043d40289c6668a30886cb4dcd61a8
    Вот карантин. Far Manager больше их не видит. Сейчас пришлю логи

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    В карантине все те же лица:
    autorun.inf - Virus.Win32.Autorun.zr
    avpo1.dll - детектируется пока немногими, но тоже зловред

  12. #11
    Junior Member Репутация
    Регистрация
    24.10.2007
    Сообщений
    46
    Вес репутации
    38
    Была еще в папке Temp радость по имени avpo0.dll ее DrWeb видел, сказал - это Trojan.Nsanti.Packed и удалил... Потом я папку почистила...

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Повторите логи для контроля...
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Что Вам из этого не нужно?

  14. #13
    Junior Member Репутация
    Регистрация
    24.10.2007
    Сообщений
    46
    Вес репутации
    38
    Из всего мне только TermService нужен. Вот логи.
    Вложения Вложения

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    RebootWindows(true);
    end.

  16. #15
    Junior Member Репутация
    Регистрация
    24.10.2007
    Сообщений
    46
    Вес репутации
    38
    Спасибо вам всем большое за помощь! Очень вам благодарна!

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Погодите, Bratez еще скажет свой вывод по последним логам

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
    O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
    Поищите C:\WINDOWS\system32\avpo.exe
    Если найдется - пришлите по правилам.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    24.10.2007
    Сообщений
    46
    Вес репутации
    38
    Пофиксила. avpo.exe не нашелся ни в каком виде.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Искали через Windows или AVZ?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Тогда наверно всё...
    Для очистки моей совести, перезагрузитесь и повторите лог HijackThis.
    I am not young enough to know everything...

  • Уважаемый(ая) May, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Win32.hllw.autoruner.corrupted
      От wwwvvv в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 24.06.2012, 15:42
    2. Вирусы Win32.HLLW.Autoruner.5555 и WIN32.HLLW.Shadow.based
      От ShroomHumanoID в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 27.12.2011, 22:07
    3. Win32.HLLW.Autoruner
      От Petrowich43 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2011, 17:12
    4. Win32.HLLW.Autoruner.corrupted / Win32.HLLW.Autoruner.5555 [Net-Worm.Win32.Kido.ih ]
      От heidelberg23 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 09:49
    5. Win32.HLLW.Autoruner
      От SgtAlex в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.01.2009, 16:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00161 seconds with 17 queries