Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Защита ОС: вирусы, антивирусы, файрволы. (https://forum.antichat.xyz/forumdisplay.php?f=80)
-   -   Win32.HLLW.Autoruner.5555 (https://forum.antichat.xyz/showthread.php?t=104467)

Validol 03.02.2009 08:24
Win32.HLLW.Autoruner.5555
 
Господа, нуждаюсь в вашей помощи.
Подцепил непонятно где бяку. Даже не бяку, а гадость. Что она делает:
- копируется под %random% именем в system32 и в Temp Files
- запрещает доступ к drweb.com, kaspersky.ru и другим антивирусам
- запрещает обновлять их
- копируется на все flash-носители

Что делал:
1. Стоит Dr.Web 4.44 лицензионный, хотя мало важно. Просканировал систему, в папке %windir%\system32 найден файл 01.tmp, что собственно является самим вирусом. Удалил его с помощью Dr.Web. Ухожу в ребут - снова появляется там же.
2. ClearProg & RegCleaner. Удалял с помощью этих программ все вредоносные и не понятные ключи и файлы. С помощью них же очищал Temp Files и сразу же сканировал sys32.
3. Заходил по IP на Dr.Web и Kaspersky Labs - результата никакого, постоянно заменять в ссылке домен на IP - большой гемор, хотя все равно результата не дало.
4. С помощью друзей скачал базы обновления Dr.Web. Обновился - не помогло.
5. Загружался в SafeMode. Вируса нет. Загружаюсь в нормальном режиме - вирус есть. Проверял в безопасном msconfig, элементы автозагрузки - чистота. Никаких элементов данного вируса.

На virusinfo читал, что проблема встречалась, но вразумительного поста я там не нашел.

Помогите.

Fepsis 03.02.2009 12:25
Вот, прочти:
http://forum.antichat.ru/thread104375.html
Я вчера с аналогичной фигнёй парился...

Validol 03.02.2009 17:42
У тебя не тот вирус. У меня тоже самое, но у меня не *.dll, а *.tmp.
У меня его видит Dr.Web, но при удалении эта тварь снова на своем месте.
CureIt юзал - не помогло.

Программа от Касперского ничего не нашла.
Цитата:
Scanning registry:
Scanning memory:
modules :1435
infected :0
disinfected :0
will be disinfected after reboot :0
deleted :0
will be deleted after reboot :0
Nothing to clean.
Press any key to continue.
Сейчас подумал поставить Comodo Firewall, ну в общем Firewall. Он же по идее видит всю эту гадость.
Но на сайты файрволов он тоже отказывается заходить.
Будьте добры, залейте куда-нибудь comodo firewall, он freeware.
http://comodo.com/

UPDATE:
Имея дома второй комп (хотя раньше об этом забыл), я скачал обновления для Dr.Web.
Обновил и сразу просканировал, после сканирования было найдено 2 вируса:
1. %windir%\system32\01.tmp
2. %windir%\system32\ssvznc.dll
После удаления файлов (лечить их бессмысленно - проверено) ушел в ребут, нажатием кнопочки на системном блоке.
Перезагрузился и сразу сканирую - вирусов нет.
Проверяю сайты антивирусов - заходит.
Итог - от вируса мы избавились.

Предположу, что файл ssvznc.dll - это и есть сам вирус, который запускается вместе с системой и создает файлы и запрещает доступ к сайтам и прочую муть.
Если вы столкнетесь с этой проблемой, то попробуйте поискать данный файл в "C:\Windows\system32\", но не рассчитывайте, что он будет просто найден. Даже файл 01.tmp невиден, при включенном режиме просмотра скрытых файлов.
Так что предлагаю открывать командную строку (Пуск - Выполнить - cmd) и писать там следущее:

Код:
cd C:\windows\system32\
dir
После ввода этой команды смотрите зловещий файл. Если есть, то пишем следущее:
del ssvznc.dll
del 01.tmp
Должно заработать. Если нет, то просите друзей скачать вам базы для вашего антивируса. Удачи.

StR1keR 08.02.2009 23:13
ХЗ Стоит NOD 32 Такой Проблемы нету:)

giidra 26.04.2009 14:18
Цитата:
Сообщение от StR1keR
ХЗ Стоит NOD 32 Такой Проблемы нету:)
нод32 не обнаруживает этот вирус. Сделай полную проверку Dr.web Scanner. В моём случае win32...5555 и его модификации сидели прямо в папке с NODом c:\program files\eset\


Время: 04:46