-
Junior Member
- Вес репутации
- 52
Помогите разобраться. Букет вирусов.
Недавно при входе в систему начало появляться предупреждение: "RUNDLL: ошибка при загрузке thxr.wgo; не найден указанный модуль". Порнобаннера не было, видимо его сразу убил ESET. Одновременно Internet Explorer стал грузить ЦП на 100%.
После лечения ESETом, CureIT! и AVZ предупреждение при входе в систему пропало, Internet Explorer стал нормально работать, но через какое-то время обнаружил, что ESET перестал обновляться, и на этот раз стала тормозить Opera, которой я в основном пользуюсь, в ней пропал звук, и невозможно зайти на сайти антивирусов. Переустановил Opera, Flash player, звук не появился. При попытке печати страницы в Opera стали появляться предупреждения об ошибке setupapi.dll, печать невозможна. Выполнил команду route -f, обновил ESET.
Сейчас CureIT! находит и вылечивает Trojan.WinSpy.663 в sfcfiles.dll (C:\WINDOWS\system32).
ESET за сегодня нашел и вылечил:
1. "C:\WINDOWS\system32\drivers\sfc.sys модифицированный Win32/Rootkit.Agent.NSY троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\winlogon.exe".
2. "C:\Program Files\Opera\setupapi.DLL Win32/Agent.ODX троянская программа очищен удалением - изолирован HOME1954\Sergey Событие произошло при попытке запуска файла следующим приложением: C:\Program Files\Opera\opera.exe". + еще 2 этих трояна в других папках
3. "C:\DOCUME~1\Sergey\LOCALS~1\Temp\avz_3320_raw .tmp Win32/Spy.Shiz.NAO троянская программа очищен удалением - изолирован HOME1954\Sergey Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\Sergey\Рабочий стол\avz4\avz4\avz.exe". + еще 3 этих же трояна по другим адресам.
4. Только что обнаружил Win32/Kryptik.DYI троянская программа очищен удалением - изолирован
Помогите, пожалуйста, разобраться, осталось ли у меня что-то после лечения. Сейчас все, вроде, работает нормально - звук в Opera появился, ничего не тормозит явно, но что-то подсказывает, что это не конец.
Последний раз редактировалось Sergeich84; 01.05.2010 в 14:25.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Закройте все программы, выгрузите антивирус, фаерволл
Отключите ПК от интеренета, локальной сети.
пофиксите В Хиджаке:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\13365033.exe,C:\WINDOWS\system32\84502c11.exe,\\?\globalroot\systemroot\system32\XmRSvvC.exe,\\?\globalroot\systemroot\system32\mUexrPz.exe,\\?\globalroot\systemroot\system32\Jx4K2vG.exe,
Выполните в АВЗ скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\XmRSvvC.exe','');
QuarantineFile('C:\WINDOWS\system32\Jx4K2vG.exe','');
QuarantineFile('C:\WINDOWS\system\iyvu9.dll','');
QuarantineFile('C:\WINDOWS\system\ir41.dll','');
QuarantineFile('C:\WINDOWS\system\ir32.dll','');
QuarantineFile('C:\WINDOWS\system32\84502c11.exe','');
QuarantineFile('C:\WINDOWS\system32\13365033.exe','');
QuarantineFile('C:\WINDOWS\system32\mUexrPz.exe','');
DeleteFile('C:\WINDOWS\system32\mUexrPz.exe');
DeleteService('msupdate');
QuarantineFile('c:\windows\system32\vhosts.exe','');
DeleteFile('c:\windows\system32\vhosts.exe');
DeleteFile('C:\WINDOWS\system32\13365033.exe');
DeleteFile('C:\WINDOWS\system32\84502c11.exe');
DeleteFile('C:\WINDOWS\system32\XmRSvvC.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.
Пришлите virus.zip по красной ссылке вверху темы.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 52
Спасибо за быстрый ответ!
Файл и логи загрузил.
Отключал инет, локалку, все программы кроме браузера + не знаю, как выгрузить eset, поэтому просто отключил сканирование на время.
-
Поищите в C:\WINDOWS\system32\ файл sfcfiles.dll.
Если не найдете, скопируйте его туда из папки c:\WINDOWS\system32\dllcache\
В логах все чисто. Что с проблемами?
-
-
Junior Member
- Вес репутации
- 52
polar_owl, файл в папке C:\WINDOWS\system32\ есть.
Проблем сейчас никаких не заметно. Получается, все вылечили?
Вообще, изначально какие проблемы в логах и virus.zip были выявлены? Мало что в них понимаю...
-
Сообщение от
Sergeich84
файл в папке C:\WINDOWS\system32\ есть.
Проверьте его на всякий случай на VirusTotal.com
C:\WINDOWS\system32\13365033.exe -- Trojan.Win32.Scar.camf
C:\WINDOWS\system32\84502c11.exe -- Trojan.Win32.Scar.camf
Остальное -- мусор, оставшийся от вирусов.
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
polar_owl
C:\WINDOWS\system32\13365033.exe -- Trojan.Win32.Scar.camf
C:\WINDOWS\system32\84502c11.exe -- Trojan.Win32.Scar.camf
Это то, что было? Восстановление системы можно включать?
-
Да, это то, что из зловредного было обнаружено.
Восстановление можно включить
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
polar_owl
Да, это то, что из зловредного было обнаружено.
Восстановление можно включить
На VirusTotal.com файл sfcfiles.dll проверил. Результат: 0/41 (0%)
Спасибо огромное за помощь! надеюсь, все будет работать.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\13365033.exe - Trojan.Win32.Scar.camf ( AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\84502c11.exe - Trojan.Win32.Scar.camf ( AVAST4: Win32:Rootkit-gen [Rtk] )
-