PDA

Показать полную графическую версию : [решено] Вирус Win32.HLLC.Lala


seman
13-03-2010, 10:27
При загрузке порно баннер с открытым IE.
Баннер удалил. Система разблокирована.
Drweb нашел много вирусов. удалил.

прилагаю логи веба.

создал новую точку восстановления, последние все удалил.

Посмотрите плиз логи, авз нашел несколько угроз.

sanek_freeman
13-03-2010, 10:55
seman, здравствуйте.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mspmsnsv.dll','');
QuarantineFile('C:\DOCUME~1\HOME~1.AQU\LOCALS~1\Temp\idrmkl.sys','');
QuarantineFile('C:\DOCUME~1\HOME~1.AQU\LOCALS~1\Temp\~Af00891\Upgrade\atidgllk.sys','');
DeleteFile('C:\DOCUME~1\HOME~1.AQU\LOCALS~1\Temp\~Af00891\Upgrade\atidgllk.sys');
DeleteFile('C:\DOCUME~1\HOME~1.AQU\LOCALS~1\Temp\idrmkl.sys');
DeleteFile('C:\WINDOWS\system32\mspmsnsv.dll');
DeleteService('atidgllk');
DeleteService('idrmkl');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://malwarebytes.gt500.org/mbam-rules.exe).

Проблемы наблюдаются?

seman
13-03-2010, 21:00
sanek_freeman
после выполнения скрипта было много ошибок, память не может быть writen, потом svhost, explorer.exe
Спасибо. вроде бы все в порядке.

thyrex
13-03-2010, 23:15
Где лог МВАМ?

seman
14-03-2010, 11:46
Где лог МВАМ? »

Malwarebytes' Anti-Malware 1.44
Версия базы данных: 3833
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.03.2010 13:41:23
mbam-log-2010-03-14 (13-41-19).txt

Тип проверки: Быстрая
Проверено объектов: 118290
Прошло времени: 15 minute(s), 57 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 3
Заражено папок: 0
Заражено файлов: 1

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
E:\WINDOWS\system32\oobe\AntiWPA_Crypt.dll (Hacktool) -> No action taken.

thyrex
14-03-2010, 14:06
Лог в порядке

seman
14-03-2010, 14:33
thyrex
благодарю.




© OSzone.net 2001-2012