Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Не могу удалить Win32.HLLP.Rox.19 (заявка № 99885)

  1. #1
    Junior Member Репутация
    Регистрация
    26.03.2011
    Сообщений
    12
    Вес репутации
    25

    Exclamation Не могу удалить Win32.HLLP.Rox.19

    Похожый случай уже описан на
    http://virusinfo.info/showthread.php?t=24494. Из антивирусов я смог запустить только CureIt. Он находит Win32.HLLP.Rox.19 в корневых катологах (pagefile.pif, 037589.LOG, AUTORUN.INF), в каталоге D:\WINDOWS\system32\Com\ (netcfg.000, netcfg.dll, lsass.exe, smss.exe) и D:\WINDOWS\system32\ (dnsq.dll и некоторых *.log файлах). После удаления dnsq.dll комп перегружается, и все удаленные файлы появляются снова.

    AVZ не запускается. Переименовывание не помогает.

    HijackThis сооьщает об ошибке после вывода строки F3 - REG:win.ini: run=, и зависает после закрытия окна ошибки. Если запустить "Do a system scan only", то ошибка та же, сканирование завершается успешно, но после нажимания "Save log" HijackThis зависает. Поэтому прикрепляю скриншоты вместо лог-файлов.

    Помогите пожалуйста. Вся надежда на вас.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Здравствуйте!
    Не, так дело не пойдет. Давайте попробуем запустить AVZ.
    1. Скачайте полиморфный AVZ отсюда, попробуйте его переименовать и запустить.
    2. Если не выйдет, переименуйте исполняемый файл AVZ обратно в avz.exe, откройте блокнот и вставьте туда следующий текст:
    Код:
    avz.exe am=y ag=y
    Сохраните этот файл как 123.bat в папке с AVZ и запустите его.

  4. #3
    Junior Member Репутация
    Регистрация
    26.03.2011
    Сообщений
    12
    Вес репутации
    25
    Спасибо. AVZ запустился вторым способом. Но там нет скрипта "..для сбора информации для раздела "Помогите!" virusinfo.info".
    Какой скрипт запускать?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Отключите:
    -ПК от интернета
    -Все защитные приложения
    Выполните скрипт в AVZ:
    Код:
    begin
    ExecuteStdScr(2);
    ExecuteStdScr(3);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    После выполнения этого скрипта в папке LOG образуются файлы virusinfo_syscheck.zip и virusinfo_syscure.zip. Прикрепите их к следующему сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    26.03.2011
    Сообщений
    12
    Вес репутации
    25
    Прикрепляю лог-файлы.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Отключите:
    -ПК от интернета
    -Все защитные приложения
    Подключите:
    -Диск E:\
    -Диск D:\
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    QuarantineFile('D:\WINDOWS\system32\drivers\RKHit.sys','');
    QuarantineFile('D:\WINDOWS\System32\poof','');
    QuarantineFile('D:\WINDOWS\System32\kprof','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.48579.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.46506.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.44674.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.44253.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.43923.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.43392.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.41629.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.41379.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.40868.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.40618.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.39867.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.39647.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.33548.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.33488.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.32306.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.31164.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.31124.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.31044.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.31034.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.30553.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.30313.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.30243.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.30103.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.29662.exe','');
    QuarantineFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.29151.exe','');
    QuarantineFile('D:\WINDOWS\System32\pdmd53hdf.dll','');
    QuarantineFile('D:\pagefile.pif','');
    QuarantineFile('C:\autorun.inf','');
    QuarantineFile('D:\autorun.inf','');
    QuarantineFile('E:\autorun.inf','');
    QuarantineFile('D:\WINDOWS\system32\dnsq.dll','');
    DeleteFile('D:\WINDOWS\System32\kprof');
    DeleteFile('D:\WINDOWS\System32\poof');
    DeleteFile('D:\WINDOWS\system32\drivers\RKHit.sys');
    DeleteFile('D:\WINDOWS\system32\dnsq.dll');
    DeleteFile('E:\autorun.inf');
    DeleteFile('D:\autorun.inf');
    DeleteFile('C:\autorun.inf');
    DeleteFile('D:\pagefile.pif');
    DeleteFile('D:\WINDOWS\System32\pdmd53hdf.dll');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.29151.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.29662.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.30103.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.30243.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.30313.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.30553.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.31034.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.31044.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.31124.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.31164.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.32306.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.33488.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.33548.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.39647.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.39867.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.40618.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.40868.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.41379.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.41629.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.43392.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.43923.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.44253.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.44674.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.46506.exe');
    DeleteFile('D:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\~.exe.48579.exe');
    DelBHO('8D5849A2-93F3-429D-FF34-260A2068897C');
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('kprof');
    BC_DeleteSvc('poof');
    BC_DeleteSvc('RkHit');
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните ещё один скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
    Обновите базы AVZ (Файл->Обновление баз).
    Сделайте повторные логи.

  8. #7
    Junior Member Репутация
    Регистрация
    26.03.2011
    Сообщений
    12
    Вес репутации
    25
    Относительно посланного карантина: перед получением вашего собщения я удалил файлы "D:\WINDOWS\system32\config\systemprofile\Star t Menu\Programs\Startup\~.exe.", поскольку часто исчезал рабочий стол. Наверно не надо было это делать. Извините пожалуйста. Дальше буду выполнять только ваши указания.

    Пункт меню "File->Update Database" в AVZ неактивный. Но 7-й стандартный скрипт (для лаборатории Касперского) также обновляет базы. Можно воспользоваться этим скриптом?

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Цитата Сообщение от Mustang Посмотреть сообщение
    Можно воспользоваться этим скриптом
    Нет, не стоит.
    Попробуйте запустить нормальную версию AVZ и обновить базы. Если не выйдет, то сделайте повторные логи полиморфным AVZ.

  10. #9
    Junior Member Репутация
    Регистрация
    26.03.2011
    Сообщений
    12
    Вес репутации
    25
    Логи прикреплены. Запустить нормальную версию AVZ не получилось.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Да, враги ещё остались.
    Отключите:
    -ПК от интернета
    -Все защитные приложения
    Подключите:
    -Диск E:\
    -Диск С:\
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    BC_DeleteFile('D:\WINDOWS\system32\dnsq.dll');
    DeleteFile('E:\autorun.inf');
    DeleteFile('C:\autorun.inf');
    BC_DeleteFile('E:\autorun.inf');
    BC_DeleteFile('D:\autorun.inf');
    BC_DeleteFile('C:\autorun.inf');
    BC_DeleteFile('D:\pagefile.pif');
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте повторные логи.
    Последний раз редактировалось Acidorum; 27.03.2011 в 20:20. Причина: шаблон:)

  12. #11
    Junior Member Репутация
    Регистрация
    26.03.2011
    Сообщений
    12
    Вес репутации
    25
    Карантин пустой. Логи прикреплены.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Появились ещё и новые действующие лица.
    Кстати, Вы диски C:\ и E:\ подключали?
    Отключите:
    -Все защитные приложения
    Подключите:
    -Диск C:\
    -Диск E:\
    Выполните скрипт в AVZ:
    Код:
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    TerminateProcessByName('d:\windows\system32\com\smss.exe');
    QuarantineFile('D:\Documents and Settings\All Users\Start Menu\Programs\Startup\~.exe ','');
    QuarantineFile('E:\autorun.inf','');
    QuarantineFile('D:\autorun.inf','');
    QuarantineFile('d:\windows\system32\com\smss.exe','');
    DeleteFile('D:\Documents and Settings\All Users\Start Menu\Programs\Startup\~.exe ');
    DeleteFile('d:\windows\system32\com\smss.exe');
    BC_DeleteFile('D:\WINDOWS\system32\dnsq.dll');
    BC_DeleteFile('D:\pagefile.pif');
    BC_DeleteFile('D:\autorun.inf');
    BC_DeleteFile('E:\autorun.inf');
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните ещё один скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
    Сделайте повторные логи.
    Попробуйте сделать лог MBAM.

  14. #13
    Junior Member Репутация
    Регистрация
    26.03.2011
    Сообщений
    12
    Вес репутации
    25
    Цитата Сообщение от hedgars Посмотреть сообщение
    Кстати, Вы диски C:\ и E:\ подключали?
    Я отмечал их в списке дисков окна AVZ. Или надо для этого еше что-нибудь делать?
    А диск D:\ (системный) не надо подключать?

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Цитата Сообщение от Mustang Посмотреть сообщение
    А диск D:\ (системный) не надо подключать?
    Программа сама разберется

    Выполняйте написанное
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    26.03.2011
    Сообщений
    12
    Вес репутации
    25
    Логи прикреплены.

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Удалите в МВАМ все найденное
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    26.03.2011
    Сообщений
    12
    Вес репутации
    25
    Лог прикреплен.
    Вложения Вложения

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Теперь сделайте новые логи AVZ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    26.03.2011
    Сообщений
    12
    Вес репутации
    25
    Логи:

  21. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('D:\WINDOWS\system32\dnsq.dll');
     DeleteFile('D:\pagefile.pif');
     DeleteFile('C:\autorun.inf');
     DeleteFile('D:\autorun.inf');
     DeleteFile('E:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) Mustang, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. не могу удалить Win32:Confi [Wrm]
      От киря в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.03.2010, 11:05
    2. Не могу удалить Trojan.Win32.VB.aqt
      От Zr0M в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.11.2009, 16:48
    3. Ответов: 15
      Последнее сообщение: 18.06.2009, 14:42
    4. Trojan.Win32.BHO.abo не могу удалить.
      От hammond в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 03:04
    5. IM-Worm. Win32.VB.cn не могу удалить
      От misey в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.05.2008, 22:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00528 seconds with 17 queries