-
Junior Member
- Вес репутации
- 48
Не грузится IE, подозрительные процессы
Сначала перестал грузиться ИЕ, заметил, что процесс создается, потом создается второй iexplore.exe размером 60 Кб, после которого первый исчезает.
Проверил все КуреИтом, нашел море Win32.Krap.hr (если память не изменяет) + единичные какие-то вещи. Полечил.
Теперь куреИт ничего не находит, но проблема осталась:
1. ИЕ не грузится
2. море странных процессов (с набором символов в описании, левые svchost'ы в др. папке, еще бывают процессы с похожими названиями), ручное убийство которых (+самих файликов) делу не помогает.
Прошу экспертной помощи. 
Да, Ось - Винда 7.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\mswpvide.exe');
ClearQuarantineEx(true);
QuarantineFile('C:\Windows\scvhoss.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('c:\windows\system32\mswpvide.exe','');
DeleteFile('c:\windows\system32\mswpvide.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\Windows\scvhoss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SystemIn_1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Прошу выполнить эту процедуру и загрузить там получившийся файл:
http://virusinfo.info/showthread.php?t=3519
Информацию о загрузке приложите здесь.
-
-
Junior Member
- Вес репутации
- 48
-
Сообщение от
Nikkollo
Неправильный файл там приложили. Приложите тот,который указан в первом сообщении темы.
-
-
Junior Member
- Вес репутации
- 48
Сообщение от
Nikkollo
Неправильный файл там приложили. Приложите тот,который указан в первом сообщении темы.
Мой мозг сломан. 
Перечитал несколько раз Ваш постинг, но так и не понял.
Первое сообщение темы - мое, там вроде нет указания на файл.
Во-втором сообщении (первом от вас) все вроде конкретно, сделал все так:
1. Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Прошу выполнить эту процедуру и загрузить там получившийся файл:
http://virusinfo.info/showthread.php?t=3519
Информацию о загрузке приложите здесь.
2. Повторите лог virusinfo_syscheck.zip и приложите в теме.
Где я напутал?
Какой файл и куда надо выложить?
-
http://virusinfo.info/showthread.php?t=3519
4. AVZ, меню "Файл\Стандартные скрипты". В открывшемся окне необходимо отметить скрипт номер 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 0.5-2 минуты. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Его там надо было загрузить, а вы карантин загрузили.
Извиняюсь, если запутал вас.
-
-
Junior Member
- Вес репутации
- 48
Спасибо, пояснили. Теперь выложил то, что надо
-
По логам подозрительного не обнаружил.
По загруженному там архиву тоже.
Что сейчас с проблемой?
PS для Windows 7 вышел SP1, рекомендую установить:
http://www.microsoft.com/downloads/r...b-3a9b77cdfdda
-
-
Junior Member
- Вес репутации
- 48
Проблема вроде ушла
1. IE грузится
2. особо подозрительных процессов вроде нет.
Спасибо огромное за помощь!
А что в карантине было? Win32.Krap.hr? И почему куреИт не справился?
-
C:\Program Files\Internet Explorer\setupapi.dll - Trojan.Win32.Zapchast.fev
c:\windows\system32\mswpvide.exe - Trojan.Win32.Antavmu.lcb
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
-
Удалите в МВАМ только указанные строки
Код:
Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Trojan.Agent) -> Value: HKCU -> No action taken.
Заражённые файлы:
c:\Windows\Temp\5D31.tmp (Spyware.Passwords.XGen) -> No action taken.
d:\__delete!!\__viruses!\A621.tmp (Spyware.Passwords.XGen) -> No action taken.
d:\__delete!!\__viruses!\A64F.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\Users\sam-zaharov.ana\AppData\Roaming\WinDir\Svchost.exe (Trojan.Agent) -> No action taken.
Смените все пароли
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.fev ( DrWEB: Trojan.WinSpy.1013, BitDefender: Gen:Variant.Buzy.1635, AVAST4: Win32:WinSpy-HD [Trj] )
- c:\\windows\\system32\\mswpvide.exe - Trojan.Win32.Antavmu.lcb ( DrWEB: Trojan.RDPReset, BitDefender: Gen:Variant.Kazy.19061, AVAST4: Win32:MalOb-IJ [Cryp] )
-
