Показано с 1 по 11 из 11.

Странно стал вести себя компьютер (заявка № 101575)

  1. #1
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    26
    Вес репутации
    53

    Thumbs up Странно стал вести себя компьютер

    После сканирования ПК антивирусом Eset Smart Security 4.2.40.10 были обанаружены:
    1. JS/Agent.NCX троянская программа,
    2. HTML/ScrInject.B.Gen вирус,
    3. HTML/Iframe.B.Gen вирус,
    4. модифицированный Win32/Kryptik.MTA троянская программа,
    5. модифицированный Win32/Agent.OSS троянская программа,
    6. Win32/Delf.QBN троянская программа,
    7. модифицированный Win32/Kryptik.MSZ троянская программа,
    8. модифицированный Win32/Packed.MoleboxUltra потенциально нежелательная программа,
    9. в папке C\Windows\system32\sfcfiles.dll был обнаружен модифицированный Win32/Hodprot.AP троянская программа.

    После помещения этих файлов в карантин, кроме 9 пункта (очистка почему то невозможна), компьютер стал странно себя вести, а именно:
    Перестал запускаться Internet Explorer, перестали открываться некоторые файловые документы (фото, видео), и самое интересное что при выключении компьютера, комп не выключается, а ПЕРЕЗАГРУЖАЕТСЯ!
    Что делать, ума не приложу. Интересно, в чем может быть дело? Спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe','');
     QuarantineFile('c:\program files\common files\program shared\isass.exe','');
     DeleteFile('c:\program files\common files\program shared\isass.exe');
     DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
     QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe','');
     QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
     DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(16);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
      BC_DeleteSvc('FCI');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    26
    Вес репутации
    53
    Сделал как Вы просили. Выполнил скрипты.
    Теперь высылаю Вам файлы quarantine.zip из папки AVZ.
    Заметил, что при выполнении лога по правилам п.2 раздела Диагностика, несколько раз появлялось окошко с предупреждение (см. скриншот)

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - удалите в MBAM все кроме
    Код:
    Заражённые файлы:
    c:\WINDOWS\system32\madCHook.dll (MadCodeHook) -> No action taken.
    c:\ИГРЫ\alone in the dark 4\Loader.exe (Backdoor.Bot) -> No action taken.
    d:\закачка\программы для компьютера\nero-7.10.1.0\ключ\nero_7.7.5.1keygen.exe (RiskWare.Tool.CK) -> No action taken.
    d:\закачка\программы для компьютера\программы по изменению голоса\av voice changer diamond edition\keygen\keygen.exe (RiskWare.Tool.CK) -> No action taken.
    l:\моя папка\компьютер depo\Диск D\закачка\программы для компьютера\программы по изменению голоса\av voice changer diamond edition\keygen\keygen.exe (RiskWare.Tool.CK) -> No action taken.
    l:\моя папка\компьютер depo\Диск D\закачка\программы для компьютера\nero-7.10.1.0\ключ\nero_7.7.5.1keygen.exe (RiskWare.Tool.CK) -> No action taken.
    l:\моя папка\компьютер depo\Диск D\цифровая аппаратура\sony ericsson w810i\эмуляторы для телефона\kemulator_lite_098\kemulator.exe (Trojan.Agent) -> No action taken.
    l:\моя папка\компьютер depo\Диск D\+потом посмотрю\программы\nero-7.10.1.0\ключ\nero_7.7.5.1keygen.exe (RiskWare.Tool.CK) -> No action taken.
    l:\моя папка\компьютер depo\Диск D\+потом посмотрю\программы\программы по изменению голоса\av voice changer diamond edition\keygen\keygen.exe (RiskWare.Tool.CK) -> No action taken.
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
     QuarantineFile('%windir%\system32\mssfc.dll','');
     DeleteFile('%windir%\system32\drivers\sfc.sys');
     DeleteFile('%windir%\system32\mssfc.dll');
     if FileExists ('%windir%\system32\sfcfiles.dll') then
       begin
        if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
           begin
             AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
           end
          else
           begin
             AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
             QuarantineFile('%windir%\system32\sfcfiles.dll','');
             RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
             if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
               begin
                if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
                  begin
                   CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                   AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
                  end
                 else
                  begin
                   AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
                   if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                     begin
                      if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                        begin
                         CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                         AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                        end
                       else
                         AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                     end
                    else
                      AddToLog('Файл sfcfiles.dll отсутствует в i386');
                  end;
               end
              else
               begin
                AddToLog('Файл sfcfiles.dll отсутствует в кеше');
                if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                  begin
                   if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                     begin
                      CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                      AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                     end
                   else
                      AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                  end
                 else
                   AddToLog('Файл sfcfiles.dll отсутствует в i386');
               end;
           end;
       end
      else
       begin
         AddToLog('файл sfcfiles.dll отсутствует в  %windir%\system32\');
         if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
           begin
            if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
              begin
               CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
               AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
              end
             else
              begin
               AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
               if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                 begin
                  if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                    begin
                     CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                     AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                    end
                   else
                     AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                 end
                else
                  AddToLog('Файл sfcfiles.dll отсутствует в i386');
              end;
           end
          else
           begin
            AddToLog('Файл sfcfiles.dll отсутствует в кеше');
            if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
              begin
               if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                 begin
                  CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                  AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                 end
               else
                  AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
              end
             else
               AddToLog('Файл sfcfiles.dll отсутствует в i386');
           end;
       end;
     DeleteFile('%windir%\system32\sfcfiles.bak');
     SaveLog('sfcfiles.log');
     BC_ImportALL;
     ExecuteSysClean;
     BC_DeleteFile('%windir%\System32\sfcfiles.bak');
     BC_DeleteSvc('sfc');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог virusinfo_syscheck.zip;
    - Сделайте лог MBAM
    - файл sfcfiles.log прикрепите к сообщению

  6. #5
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    26
    Вес репутации
    53
    Извините за столь долгий ответ.. праздники..
    Получили ли Вы карантин, который я Вам отправил, или же следует повторить загрузку?
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    26
    Вес репутации
    53
    Я что-то не так сделал?

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    в логах чисто

  9. #8
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    26
    Вес репутации
    53
    Т.е. тему можно закрывать? А что делать с папкой quarantine.zip из папки AVZ ?

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    можете её удалить

  11. #10
    Junior Member Репутация
    Регистрация
    26.10.2009
    Сообщений
    26
    Вес репутации
    53
    Ну, вроде всё работает. тьфу, тьфу, тьфу. Прошу модераторов закрыть эту тему.
    А polword выражаю особую благодарность в поддержке и помощи! Спасибо!

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.BHO.bmpd ( DrWEB: Trojan.WinSpy.1015, BitDefender: Gen:Variant.Kazy.20567, AVAST4: Win32:Hodprot-A [Rtk] )


  • Уважаемый(ая) 1николай, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Компьютер странно себя ведет
      От Алексей1983 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.03.2012, 16:36
    2. Компьютер ведет себя странно
      От vkpower в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.04.2011, 15:41
    3. компьютер странно себя ведет
      От Ejevika в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.04.2011, 07:01
    4. компьютер ведёт себя странно
      От WhiteFox в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2011, 04:27
    5. Странно ведет себя компьютер...
      От SJ59 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.03.2009, 17:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00998 seconds with 18 queries