Доброго времени суток. Утилита CureIt обнаружила процесс в памяти Trojan.PWS.Panda.114 и вроде как вылечила, но после перезагрузки он снова появл-ся. Помогите пожалуйста. Ниже логи.
Доброго времени суток. Утилита CureIt обнаружила процесс в памяти Trojan.PWS.Panda.114 и вроде как вылечила, но после перезагрузки он снова появл-ся. Помогите пожалуйста. Ниже логи.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите
-Выполните скриптКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('\Device\HarddiskVolume1\Temp\RarSFX0\2sk95.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
/done
Все впорядке? Я волнуюсь
Последний раз редактировалось Rene-gad; 24.08.2009 в 09:55.
- пришлите по правилам (приложение 2 и 3).Код:c:\windows\system32\hufhehu.dll
avz не находит такого файла, его нет в списке при просмотре карантина
но очевидно вирус не вылечен, сейчас проверю CureIt'ом
Добавлено через 16 минут
Таки да, снова тот же процесс в памяти
Помогите люди добрые
Последний раз редактировалось NeytroN; 24.08.2009 в 20:59. Причина: Добавлено
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
CureIt выдает Trojan.PWS.Panda.114 и якобы излечивает его, но после перезагрузки все снова. Вообщем, повторяется все с начала.
В последних логах его нет.
Сделайте новые логи + отчет утилиты GSI
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал всё как просили.
http://www.getsysteminfo.com/read.ph...bf3f09ce6e3e2a
зы: кроме того AVZ сделал архив карантина, залью, если понадобится
Пофиксить в HiJack
Выполните скрипт в AVZКод:R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\hufhehu.dll',''); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал.
Файл c:\windows\system32\hufhehu.dll на диске присутствует?
Если да, запакуйте его с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Да, есть такой файл. Хотя до этого его не было.
Сделал как вы просили. Файл 090825_094627_hufhehu_4a937ab3a7fc1.zip
вердикт - чистый
Проведем эксперимент:
- Скачайте http://virus-protect.org/zip/WinsockxpFix.zip
-Пофиксите:
Перегрузитесь.Код:O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll
Если пропадет сеть - запустите скачанную тулзу.
Если опять таки не поможет - восстановите записи из бекапа Hijackthis.
Потом повторите логи по пп. 2 и 3 Диагностики.
Последний раз редактировалось Rene-gad; 25.08.2009 в 11:13. Причина: Добавлено
HJT не хочет это фиксить, выдавая такую ошибку:
Вложение 156642
Пофиксил с помощью LspFix.
Вот логи.
Ничего подозрительного. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вроде все ок. Прошелся CureIt - вроде чисто.
Проблему я обнаруживал, когда запускал игру (Lineage2), выкидывало с ошибкой l2.bin файла. Думается, это вирус чет портил.
А что было то собственно? Проблема была в hufhehu.dll?
Спасибо!
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.aahr ( DrWEB: Trojan.PWS.Panda.114, BitDefender: Application.Generic.202372, AVAST4: Win32:Trojan-gen {Other} )
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.aahz ( BitDefender: Trojan.Generic.2322746, AVAST4: Win32:Rootkit-gen [Rtk] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) NeytroN, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.