Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Win 32.HLLP.Whboy и другая зараза (http://forum.oszone.net/showthread.php?t=118697)

Alexander_Grig 30-09-2008 13:21 912343
Win 32.HLLP.Whboy и другая зараза
 
Вложений: 1
Здравствуйте!

Знакомая обнаружила у себя "зверушку". Dr.Web опознал его как Win32.HLLP.Whboy и удалил. Через некоторое время он опять появляется. Лечение с помощью CureIt и AVZ в безопасном режиме не помогло.
Со слов пострадавшей заражены также флешки и фотоаппарат. Сам консультирую ее удаленно, попросил ее сделать необходимые логи, которые и прикрепляю.

Заранее благодарю за помощь.

iskander-k 30-09-2008 13:55 912381
Цитата:
Цитата Alexander_Grig
Со слов пострадавшей заражены также флешки и фотоаппарат »
Оттуда большей частью снова все и лезет- если антивирус не включен постоянно. Надо также очистить флешки и память фотоаппарата. И при подключении устройств антивирус должен быть включен. Система восстановления при проверке\лечении CureIt должна быть отключена.

Pili 30-09-2008 14:44 912430
Alexander_Grig, Очистите временные файлы.
Деинсталлируйте ContentSaver и ConnectionServices
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить».
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\ContentSaver\ContentSaver.dll','');
 DeleteFile('C:\Program Files\ContentSaver\ContentSaver.dll');
 DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
 DelBHO('{29F340EA-2108-40d0-94A0-62EC2B9EDF59}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (что останется)
Цитата:
O2 - BHO: ContentSaver module - {29F340EA-2108-40d0-94A0-62EC2B9EDF59} - C:\Program Files\ContentSaver\ContentSaver.dll (file missing)
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - (no file)
Для защиты от вирусов типа autorun.inf
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Дополнительно можно скачать и запустить утилиту (не забудьте подключить флешки и/или другие съемные носители) Flash Drive Disinfector - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected". Откройте лог и скопируйте в сообщение.
Повторите логи virusinfo_syscheck.zip и hijackthis
И пора ставить SP3


Время: 11:14.

Время: 11:14.
© OSzone.net 2001-