Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Вирус Win32.HLLC.Lala (http://forum.oszone.net/showthread.php?t=170000)

seman 13-03-2010 10:27 1367527
Вирус Win32.HLLC.Lala
 
При загрузке порно баннер с открытым IE.
Баннер удалил. Система разблокирована.
Drweb нашел много вирусов. удалил.

прилагаю логи веба.

создал новую точку восстановления, последние все удалил.

Посмотрите плиз логи, авз нашел несколько угроз.

sanek_freeman 13-03-2010 10:55 1367548
seman, здравствуйте.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\mspmsnsv.dll','');
 QuarantineFile('C:\DOCUME~1\HOME~1.AQU\LOCALS~1\Temp\idrmkl.sys','');
 QuarantineFile('C:\DOCUME~1\HOME~1.AQU\LOCALS~1\Temp\~Af00891\Upgrade\atidgllk.sys','');
 DeleteFile('C:\DOCUME~1\HOME~1.AQU\LOCALS~1\Temp\~Af00891\Upgrade\atidgllk.sys');
 DeleteFile('C:\DOCUME~1\HOME~1.AQU\LOCALS~1\Temp\idrmkl.sys');
 DeleteFile('C:\WINDOWS\system32\mspmsnsv.dll');
 DeleteService('atidgllk');
 DeleteService('idrmkl');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Проблемы наблюдаются?

seman 13-03-2010 21:00 1367961
sanek_freeman
после выполнения скрипта было много ошибок, память не может быть writen, потом svhost, explorer.exe
Спасибо. вроде бы все в порядке.

thyrex 13-03-2010 23:15 1368060
Где лог МВАМ?

seman 14-03-2010 11:46 1368250
Цитата:
Цитата thyrex
Где лог МВАМ? »
Malwarebytes' Anti-Malware 1.44
Версия базы данных: 3833
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.03.2010 13:41:23
mbam-log-2010-03-14 (13-41-19).txt

Тип проверки: Быстрая
Проверено объектов: 118290
Прошло времени: 15 minute(s), 57 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 3
Заражено папок: 0
Заражено файлов: 1

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
E:\WINDOWS\system32\oobe\AntiWPA_Crypt.dll (Hacktool) -> No action taken.

thyrex 14-03-2010 14:06 1368361
Лог в порядке

seman 14-03-2010 14:33 1368380
thyrex
благодарю.


Время: 13:04.

Время: 13:04.
© OSzone.net 2001-