Win32.HLLW.Zoran

[THE OLD VERMIN]

Ноутбук Acer Aspire 5551G

Windows 7 Домашняя расширенная

64-разрядная ОС.

CureIt пока нашел только вот эту гадость - Zoran (еще идет полное сканирование)

Позже дам остальные логи.

Вот еще что не дает покоя.

В диспетчере задач два процесса ctfmon.exe и ctfmon.exe*32. Второй запускается из Windows\SysWOW64.

И еще загружаются какие-то процессы EgisTec:

EgisUpdate

EgisTecPMMUpdate

SuiteTray

mwlDaemon

Для чего они нужны?

Логи rsit

info.txt

log.txt

Да, еще посоветуйте антивирус, в котором базы полегче.

И чтобы терпел и не ныл, пока хозяин скачает обновления. :)

info.txt

log.txt

Изменено 8 января, 2011 пользователем THE OLD VERMIN

[zirreX]

Здравствуйте! Подготовьте лог OTL by oldtimer

Как подготовить лог OTL by oldtimer

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[THE OLD VERMIN]

OTL.Txt

Extras.Txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

OTL.Txt

Extras.Txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[zirreX]

Запустите OTL. Скопируйте ниже написанный скрипт в окно Custom Scans/Fixes и нажмите кнопку Run Fix

:OTLIE - HKU\S-1-5-21-4142892369-107527150-3813168616-1000\..\URLSearchHook:  - Reg Error: Key error. File not foundO3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.O18:[b]64bit:[/b] - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not foundO18:[b]64bit:[/b] - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not foundO18:[b]64bit:[/b] - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - Reg Error: Key error. File not foundO21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.O33 - MountPoints2\{1afb6e6c-11ab-11e0-b088-c446193b23e6}\Shell - "" = AutoRunO33 - MountPoints2\{1afb6e6c-11ab-11e0-b088-c446193b23e6}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- File not foundO33 - MountPoints2\{1afb6e82-11ab-11e0-b088-c446193b23e6}\Shell - "" = AutoRunO33 - MountPoints2\{1afb6e82-11ab-11e0-b088-c446193b23e6}\Shell\AutoRun\command - "" = F:\AutoRun.exe -- File not foundO33 - MountPoints2\E\Shell - "" = AutoRunO33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\AutoRun.exe -- File not foundO34 - HKLM BootExecute: (autocheck autochk *) -  File not found:Filesipconfig /flushdns /c:Commands[purity][emptytemp][CREATERESTOREPOINT][EMPTYFLASH][Reboot]

Компьютер перезагрузится.

Прикрепите полученный лог к вашему сообщению.

Запустите OTL и нажмите кнопку Quick Scan.Полученный лог прикрепите.

Отключите:

Компьютер от интернета/локальной сети

Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\Documents and Settings\алекс\DoctorWeb\Quarantine\configuratio0.exe');DeleteFile('C:\Documents and Settings\алекс\DoctorWeb\Quarantine\lsass.exe');DeleteFile('C:\Users\алекс\DoctorWeb\Quarantine\configuratio0.exe');DeleteFile('C:\Users\алекс\DoctorWeb\Quarantine\lsass.exe');DeleteFile('C:\Windows\CIDD_P\lsass.exe');DeleteFile('C:\Windows\configuration\configuration.exe');DeleteFileMask('C:\Windows\CIDD_P','*.*', true);DeleteDirectory('C:\Windows\CIDD_P');DeleteFileMask('C:\Windows\configuration','*.*', true);DeleteDirectory('C:\Windows\configuration');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится!

Сделайте новые логи AVZ.

Делали полное сканирование в MBAM?Прикрепите пожалуйста лог.

Изменено 8 января, 2011 пользователем Fedin

[zirreX]

EgisUpdateEgisTecPMMUpdate SuiteTraymwlDaemon

EgisTec MyWinlocker-программа для шифрования данных,устанавливается на многие модели ноутбуков Acer.

Изменено 8 января, 2011 пользователем Fedin

[THE OLD VERMIN]

mbam-log-2011-01-08 (22-28-49).txt

mbam-log-2011-01-08 (22-28-49).txt

[THE OLD VERMIN]

Не могу выполнить скрипт.

Программа "Антивирусная утилита AVZ" не работает

Возникшая проблема привела к прекращению работы программы. Windows закроет эту программу, а если есть известный способ устранения проблемы, уведомит вас об этом.

OTL904.txt

OTL.Txtquickscan.txt

OTL904.txt

OTL.Txtquickscan.txt

[zirreX]

Удалите в MBAM

Заражённые папки:c:\Windows\CIDD_P (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\e0ebe5eaf1 (Worm.AutoIt) -> No action taken.Заражённые файлы:c:\Windows\CIDD_P\lsass.exe (Worm.AutoIt) -> No action taken.c:\Windows\configuration\configuration.exe (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\e0ebe5eaf1\br.dll (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\e0ebe5eaf1\clm.dll (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\e0ebe5eaf1\nam.dll (Worm.AutoIt) -> No action taken.c:\Windows\CIDD_P\e0ebe5eaf1\nfie.dll (Worm.AutoIt) -> No action taken.

После удаления объектов, сделайте повторное сканирование и прикрепите лог.

Запустите OTL, скопируйте ниже написанный скрипт в окно Custom Scans/Fixes и нажмите Run Fix

:OTLO3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.O18:64bit: - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not foundO18:64bit: - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not foundO18:64bit: - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - Reg Error: Key error. File not foundO21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.:Filesipconfig /flushdns /c:Commands[purity][emptytemp][CREATERESTOREPOINT][EMPTYFLASH][Reboot]

Компьютер перезагрузится.

Полученный лог выполнения прикрепите.

Проверьте файл на www.virustotal.com и дайте ссылку на результат проверки

C:\ProgramData\FullRemove.exe

Изменено 8 января, 2011 пользователем Fedin

[THE OLD VERMIN]

mbam-log-2011-01-09 (00-12-19).txt

01092011_001515.log

http://www.virustotal.com/file-scan/report.html?id=0491aeac13250fc36ecc8d875884665143c194a89c5f6a42001034bc068cec28-1289774479

01092011_001515.log

mbam-log-2011-01-09 (00-12-19).txt

[zirreX]

Больше проблем не вижу.

Удалите OTL, для этого:

Запустите OTL, нажмите кнопку CleanUp.

Перезагрузитесь.

Изменено 8 января, 2011 пользователем Fedin

[THE OLD VERMIN]

Спасибо большое. Очень приятно было с Вами работать.

[zirreX]

Рад был помочь. :)