Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 43.

Вирус Win32.HLLP.whboy.origin.. вылечить не получается... (заявка № 44461)

  1. #1
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    78
    Вес репутации
    39

    Exclamation Вирус Win32.HLLP.whboy.origin.. вылечить не получается...

    Пробовал НОД3 не смог установить....
    Касперский стоял но перестал загружатся...
    ДР. веб постоянно находи одни и теже файлы без прогресса ... тоесть скаждым запуском одно и тоже. пробовал зопасном режиме и с ливСД .....
    поведение у вируса странное побил exe файлы но не все(к примеру ВОРД убил Ексель нет )))
    при запуске инсталяционного шника инстал не запускается зато создаётся в тойже папке копия инсталятора с расширением exe.exe....
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('Pvb16');
     QuarantineFile('C:\WINDOWS\dropcpyr.dll','');
     QuarantineFile('WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\ieqnfqn.dll','');
     QuarantineFile('C:\WINDOWS\csrss.exe','');
     QuarantineFile('C:\WINDOWS\copyfstq.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Pvb16.sys','');
     QuarantineFile('C:\WINDOWS\system32\WlCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WlCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Pvb16.sys');
     DeleteFile('C:\WINDOWS\csrss.exe');
     DeleteFile('C:\WINDOWS\system32\ieqnfqn.dll');
     DeleteFile('WinCtrl32.dll');
     DeleteService('Pvb16');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('Pvb16');
    ExecuteRepair(7);
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    78
    Вес репутации
    39
    всё сделал ...
    одно но при запуске обозревателя со старту пытается зайти на страничку
    Вложения Вложения
    Последний раз редактировалось Alex_Goodwin; 27.04.2009 в 17:59.

  5. #4
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    78
    Вес репутации
    39
    ещё в процесах есть неубиваемые 2 процесса:
    1) CTHELPER.EXE
    2) iexplore.exe
    я их убиваю и через 5 сек они снова появляются....

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    ga2.exe_ - Trojan.Win32.VB.nwp,
    haha.exe_, lc.exe_, lskkt.exe_, scha.exe_ - Backdoor.Win32.VB.inm
    Детектирование файлов будет добавлено в следующее обновление.

    "Пофиксите" в HijackThis
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe C:\PROGRA~1\COMMON~1\Microsoft\CTHELPER.EXE
    F3 - REG:win.ini: load=C:\PROGRA~1\COMMON~1\\svchost.exe
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
     ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\program files\common files\microsoft\cthelper.exe');
     TerminateProcessByName('c:\program files\common files\svchost.exe');
     TerminateProcessByName('c:\program files\microsoft office\smss.exe');
     TerminateProcessByName('c:\windows\system32\schost.exe');
     QuarantineFile('C:\WINDOWS\copyfstq.exe','');
     QuarantineFile('c:\k1.tmp','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\cpqui.sys','');
     QuarantineFile('C:\WINDOWS\system32\YIXarL.dll','');
     QuarantineFile('C:\Program Files\Common Files\avicap.dll','');
     QuarantineFile('C:\Program Files\Common Files\Microsoft\CTHELPER.EXE','');
     QuarantineFile('C:\Program Files\Common Files\Microsoft\krnln.fnr','');
     QuarantineFile('C:\Program Files\Microsoft Office\krnln.fnr','');
     QuarantineFile('c:\program files\common files\svchost.exe','');
     QuarantineFile('c:\program files\microsoft office\smss.exe','');
     QuarantineFile('c:\windows\system32\schost.exe','');
     StopService('msnapa');
     DeleteService('msnapa');
     DeleteFile('c:\windows\system32\schost.exe');
     DeleteFile('c:\program files\microsoft office\smss.exe');
     DeleteFile('c:\program files\common files\svchost.exe');
     DeleteFile('C:\Program Files\Microsoft Office\krnln.fnr');
     DeleteFile('C:\Program Files\Common Files\Microsoft\krnln.fnr');
     DeleteFile('C:\Program Files\Common Files\Microsoft\CTHELPER.EXE');
     DeleteFile('C:\Program Files\Common Files\avicap.dll');
     DeleteFile('C:\WINDOWS\system32\YIXarL.dll');
     DeleteFile('c:\k1.tmp');
    BC_ImportDeletedList;
     BC_DeleteSvc('k360'); 
     BC_DeleteSvc('msnapa');
    ExecuteSysClean;
     ExecuteRepair(9);
     ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=44461.
    Сделайте полную проверку AVPTool и повторите логи.

  7. #6
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    78
    Вес репутации
    39
    есть процес который ни АВП ни АВЗ завершить\удалить не может ...
    АВП написал удалит после ребута но не удалил...
    процес qqsafe.exe...
    в темп папке юзера постоянно создаются какието файлы .. штук 10-15 еще в корзине постоянна есть 4 файла которых не видно но удалить можно....
    карантин выслал логи повторил....

    есть идеи?
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 25.04.2009 в 15:20.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\cursors\qqsafe.exe');
     QuarantineFile('C:\WINDOWS\copyfstq.exe','');
     QuarantineFile('C:\WINDOWS\system32\lssas.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\cpqui.sys','');
     QuarantineFile('c:\windows\cursors\qqsafe.exe','');
     DeleteFile('c:\windows\cursors\qqsafe.exe');
     DeleteFile('C:\WINDOWS\system32\lssas.exe');
     DeleteFile('C:\WINDOWS\copyfstq.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  9. #8
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    78
    Вес репутации
    39
    Всё сделал только скрипт пришлось сделать в безопасном режиме ... ибо просто выдавал ошибку....
    нипонятных процессов больше не наблюдается....
    логи и карантин в студии.....
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    -Пофиксите
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.9348.cn/?205418
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.9348.cn/?205418
    O2 - BHO: (no name) - {DCF49866-8F81-4F5F-8193-7EC75A2AB321} - (no file)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('xmqmawo');
     StopService('ClipSrv');
     QuarantineFile('C:\WINDOWS\system32\ntsd.exe','');
     QuarantineFile('copyfstq.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\cpqui.sys','');
     QuarantineFile('C:\WINDOWS\java\classes\c1ipsrv.exe','');
     QuarantineFile('C:\WINDOWS\system32\YIXarL.dll','');
     DeleteFile('C:\WINDOWS\system32\YIXarL.dll');
     DeleteFile('C:\WINDOWS\java\classes\c1ipsrv.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\cpqui.sys');
     DeleteFile('copyfstq.exe');
     DeleteService('ClipSrv');
     DeleteService('xmqmawo');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('ClipSrv');
     BC_DeleteSvc('xmqmawo');
     executerepair(6);
     executerepair(9);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  11. #10
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    78
    Вес репутации
    39
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ww.9348.сn/?205418
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ww.9348.сn/?205418
    не фиксятся.....
    после повторного сканирования они снова на том же месте
    Последний раз редактировалось BoozyWoozy; 27.04.2009 в 20:17.

  12. #11
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    78
    Вес репутации
    39
    вот логи....
    и карантин...
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    -Пофиксите
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.9348.cn/?205418
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.9348.cn/?205418
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\scha.exe','');
     QuarantineFile('C:\WINDOWS\system32\lskkt.exe','');
     QuarantineFile('C:\WINDOWS\system32\YIXarL.dll','');
     DeleteFile('C:\WINDOWS\system32\YIXarL.dll');
     DeleteFile('C:\WINDOWS\system32\lskkt.exe');
     DeleteFile('C:\WINDOWS\system32\scha.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  14. #13
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    78
    Вес репутации
    39
    не фиксится... пробовал раз 5-6.....

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от BoozyWoozy Посмотреть сообщение
    не фиксится... пробовал раз 5-6.....
    Логи?

  16. #15
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    78
    Вес репутации
    39
    щас 2 минутки.....

    Добавлено через 42 минуты

    можно я включу в карантин файл по своему усмотрению?
    просто он запускает процесс и явно не принадлежит к системе и софту установленном мною.... находится в систем32\дриверс....

    логи и карантин залил..
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 27.04.2009 в 16:46.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\drivers\TXPlatformm.exe');
    BC_ImportAll;
    ExecuteSysClean;
    SetAVZPMStatus(True);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    -Пофиксите
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.9348.cn/?205418
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.9348.cn/?205418
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

  18. #17
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    78
    Вес репутации
    39
    C:\WINDOWS\system32\drivers\TXPlatformm.exe
    удаляется без проблем ручками.....
    а вот фикс не проходит....
    щас попробовал ручками в реестре удалить... после перезагрузки выложу логи....

    Добавлено через 21 минуту

    после удаления в реестре адреса с HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ww.9348.сп/?205418
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ww.9348.сп/?205418

    машина грузится только в безопасном режиме (((
    хотя я не удалял ничего а только поменял адрес в нужных файлах

    вот логи ... правда из безопасного режима....

    вообщем файл TXPlatformm.exe вновь и вновь появляется в папке систем32\дриверс....
    также он появляется в процессах при запуске некоторых exe файлов при этом создаётся файл с тем же названием в тойже папке но с расширением .exe.exe
    прописывает себя в реестре в :HKCU\software\microsoft\windows\curentwersion\run
    имя explorer тип reg_SZ начение C:\WINDOWS\system32\drivers\TXPlatformm.exe

    Добавлено через 11 минут

    Закрывайте наверное тему... ибо нет возможности больше затягивать у меня решение этой проблеммы.... буду переставлять систему.....
    Вложения Вложения
    Последний раз редактировалось BoozyWoozy; 27.04.2009 в 20:19.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Сделайте еще лог gmer: http://virusinfo.info/showthread.php?t=40118 а потом - своя рука - владыка
    ЕЩЕ РАЗ УВИЖУ АКТИВНУЮ ССЫЛКУ НА ЗЛОВРЕДА В ТЕМЕ - БАН ОБЕСПЕЧЕН!!!!

  20. #19
    Junior Member Репутация
    Регистрация
    09.07.2007
    Сообщений
    78
    Вес репутации
    39
    извените я не знал что она будет активной....
    просто скопировал из кода ПРОФИКСИТЕ.......
    сцылки поправил....
    логи будут через 10 мин....

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от BoozyWoozy Посмотреть сообщение
    логи будут через 10 мин....
    Нужен 1 лог gmer, сканирование может длиться и час

  • Уважаемый(ая) BoozyWoozy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Win32.HLLP.Whboy +Trojan.Downloader.56904
      От hung_andrew в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 05:58
    2. Не получается вылечить "Win32.HLLP.Whboy"
      От Maxi в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 05:45
    3. Заражён вирусом Win32.HLLP.Whboy
      От Basket23 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 02:23
    4. Win32.HLLP.Autorun.origin
      От urcik в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.09.2008, 09:17
    5. iframe и win32.hllp.whboy
      От pl0x в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.09.2007, 05:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00520 seconds with 17 queries