-
Junior Member
- Вес репутации
- 54
Помогите побороть заразу Xorer
Такова ситуация - подхватил где-то эту гадость - Хorer (Win32.HLLP.ROX.)
Синопсис - заблокирована работа антивируса NOD32, файрволла - Outpost Firewall,
безопасный режим не грузится (пробовал восстановить безопасного режима через AVZ как указано тут в FAQ - бесполезно), нормально работает только полиморфорный AVZ, HijackThis делает сканирование, но при сохранениее лога - виснет, открываются китайские сайты.
Полностью прогонял самозагрузочные Live CD Drweb и Avast BART CD - находят заразу, удаляют, но все бесполезно.
После перезапуска опять pif в корне и зараза в C:\WINDOWS\system32\Com
AVP Tool не запускается, Dr. Web CureIt не запускается.
Интересно, что при поытке отрыть темы в данном форуме где обсуждается Xorer - тоже вылетает. Попытка поискать инфо про Xorer в нете тоже неудачны, при этом тоже браузер вылетает. Короче, зараза очень не хочет чтобы ее удалили, блокирует хоть малейший намек для ее удаления.
Последняяя надежда на этот форум, буду очень признателен если кто-то поможет!
Последний раз редактировалось pannet; 30.09.2009 в 21:15.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
QuarantineFile('c:\windows\system32\com\lsass.exe ',' ');
QuarantineFile('c:\windows\system32\com\smss.exe ',' ');
QuarantineFile('C:\WINDOWS\system32\com\netcfg.dll ',' ');
QuarantineFile('C:\pagefile.pif',' ');
QuarantineFile('C:\autorun.inf',' ');
QuarantineFile('C:\NetApi000.sys',' ');
QuarantineFile('C:\WINDOWS\System32\drivers\alg.exe',' ');
DeleteService('ionvay');
QuarantineFile('C:\WINDOWS\system32\drivers\ipsnncah.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ipsnncah.sys');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\NetApi000.sys');
DeleteFile('C:\WINDOWS\System32\drivers\alg.exe');
DeleteFile('C:\037589.log');
DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
DeleteFileMask('c:\', 'lsass.exe.*', false);
DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 54
Спасибо большое!
Вроде все заработало, запустился файрволл, переустановил антивирус ESET NOD32
Единственный минус - Safe Mode не грузится, идет на перезагрузку по кругу.
Делаю логи. В карантине AVZ - пусто.
Последний раз редактировалось pannet; 01.10.2009 в 00:14.
-
Пофиксить:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll
Выполните скрипт:
Код:
begin
ExecuteRepair(10);
RebootWindows (true);
end.
Безопасный режим должен заработать, сделайте полную проверку CureIT, повторите стандартный скрипт №2...
-
-
Junior Member
- Вес репутации
- 54
Спасибо, сегодня вечером буду пробовать!
-
Junior Member
- Вес репутации
- 54
Все сделал и Safe Mode заработал, за это большое спасибо.
Но, видимо, зараза где-то сидит, но блокируется NOD32.
Вот журнал антивируса
07.10.2009 20:16:15 Защита в режиме реального времени файл C:\System Volume Information\_restore{C131F57C-5647-4FDA-8F8A-06C8AFD5E378}\RP196\A0051266.dll Win32/Xorer.NAD вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\avz4\dssgfdgfytyt.exe.
07.10.2009 20:16:15 Защита в режиме реального времени файл C:\System Volume Information\_restore{C131F57C-5647-4FDA-8F8A-06C8AFD5E378}\RP196\A0051266.dll Win32/Xorer.NAD вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\avz4\dssgfdgfytyt.exe.
07.10.2009 20:16:15 Защита в режиме реального времени файл C:\System Volume Information\_restore{C131F57C-5647-4FDA-8F8A-06C8AFD5E378}\RP196\A0051265.exe Win32/Xorer.DR вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\avz4\dssgfdgfytyt.exe. [ЭТО ПЕРЕИМЕНОВАННЫЙ AVZ!]
07.10.2009 20:16:15 Защита в режиме реального времени файл C:\System Volume Information\_restore{C131F57C-5647-4FDA-8F8A-06C8AFD5E378}\RP196\A0051265.exe Win32/Xorer.DR вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\avz4\dssgfdgfytyt.exe.
07.10.2009 20:16:14 Защита в режиме реального времени файл C:\System Volume Information\_restore{C131F57C-5647-4FDA-8F8A-06C8AFD5E378}\RP195\A0048234.dll Win32/Xorer.NAD вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\avz4\dssgfdgfytyt.exe.
07.10.2009 20:16:13 Защита в режиме реального времени файл C:\System Volume Information\_restore{C131F57C-5647-4FDA-8F8A-06C8AFD5E378}\RP195\A0048234.dll Win32/Xorer.NAD вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\avz4\dssgfdgfytyt.exe.
07.10.2009 20:16:13 Защита в режиме реального времени файл C:\System Volume Information\_restore{C131F57C-5647-4FDA-8F8A-06C8AFD5E378}\RP195\A0048233.exe Win32/Xorer.DR вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\avz4\dssgfdgfytyt.exe.
07.10.2009 20:16:12 Защита в режиме реального времени файл C:\System Volume Information\_restore{C131F57C-5647-4FDA-8F8A-06C8AFD5E378}\RP195\A0048233.exe Win32/Xorer.DR вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\avz4\dssgfdgfytyt.exe.
07.10.2009 1:00:21 Защита в режиме реального времени файл C:\windows\system32\80568.log Win32/Xorer.EY вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe.
07.10.2009 1:00:21 Защита в режиме реального времени файл C:\windows\system32\79817.log Win32/Xorer.EY вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\Explorer.EXE.
06.10.2009 1:00:52 Защита в режиме реального времени файл C:\windows\system32\141946.log Win32/Xorer.EY вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Internet Explorer\iexplore.exe.
Прикрепляю логи
-
Сообщение от
pannet
Но, видимо, зараза где-то сидит
Отключите восстановление системы!!!
Пролечитесь DrWeb CureIT сначала в безопасном, потом в обычном режиме. Сделайте новый лог virusinfo syscheck
-
-
Junior Member
- Вес репутации
- 54
Сделал как указали и по правилам сделал логи.
-
-
-
Junior Member
- Вес репутации
- 54
Спасибо этому форуму! Спасибо помогавшим!
Обязательно отблагодарю через sms-копилку.