Появился новый процесс Isass.exe, который жрет ресурсы процессора
антивирусный сканер ничего не нашел
Появился новый процесс Isass.exe, который жрет ресурсы процессора
антивирусный сканер ничего не нашел
Здравствуйте.
Отключите:
-Все защитные приложения
-ПК от интернета
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\program files\common files\service share\lsass.exe'); QuarantineFile('C:\Program Files\outlook express\rasadhlp.dll',''); QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('c:\program files\common files\service share\lsass.exe',''); DeleteFile('c:\program files\common files\service share\lsass.exe'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll'); DeleteFile('C:\Program Files\outlook express\rasadhlp.dll'); DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61'); DelBHO('710EB7A1-45ED-11D0-924A-0020AFC7AC4D'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(13); ExecuteRepair(16); ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Затем выполните ещё один скрипт:
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Какие браузеры ещё установлены в системе?
Откройте все установленные браузеры и сделайте повторные логи.
сделал
-Профиксите в HijackThis
- Сделайте лог MBAMКод:O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
сделал
Удалите в MBAM:
Файл sfcfiles.dll замените на чистый из дистрибутива.Код:Заражённые параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken. Заражённые файлы: c:\documents and settings\eglazkov\рабочий стол\avz4\avz4\quarantine\2011-04-27\avz00003.dta (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\eglazkov\рабочий стол\avz4\avz4\quarantine\2011-04-27\avz00005.dta (Spyware.Passwords.XGen) -> No action taken. c:\program files\common files\program shared\Isass.exe (Spyware.Passwords.XGen) -> No action taken. c:\program files\far\hnetcfg.dll (Spyware.Passwords.XGen) -> No action taken. c:\program files\WinRAR\rasadhlp.dll (Spyware.Passwords.XGen) -> No action taken. c:\TEMP\jy8il2z.tmp (Spyware.Passwords.XGen) -> No action taken. c:\TEMP\lg9fo7k.tmp (Spyware.Passwords.XGen) -> No action taken. c:\TEMP\zzr54fs.tmp (Spyware.Passwords.XGen) -> No action taken. c:\WINDOWS\system32\sfcfiles.dll (Trojan.Patch) -> No action taken. c:\WINDOWS\TEMP\8238.exe (Spyware.Passwords.XGen) -> No action taken.
Сделайте повторный лог MBAM.
а как удалить в МВАМ? не нашел куда вставтлять скрипт
или заново запускать сканер МВАМ?
на диске С не нашел ни одного файла sfcfiles.dll
искал через пуск-найти
если скачать отсуда http://www.dll.ru/dll/23313.html
он подойдет? у меня win XP 2002 SP3, а по ссылке - SP2
Возьмите этот:
I am not young enough to know everything...
Вы уверены что этот файл подойдет? в свойствах у него написано, что язык - английский, а у меня в ХР - русский
еще вопросик - где в ХР должен находиться sfcfiles.dll?
не могу его найти, что бы заменить
искал, загрузившись с kasp rescue disc 10 в папке с\windows\system32 - не нашел
и в ХР по всему диску через пуск-найти. в свойствах папки опция "отобоажать скрытые и системные файлы" стоит. Тоже не нашел
добавил свежие логи, просьба посмотреть
Последний раз редактировалось Egorik; 02.05.2011 в 15:41. Причина: добавил новые логи
Файл 100% подойдет, он взят из русской XPSP3. Очевидно, он не связан с пользовательским интерфейсом и поэтому не локализуется. Его место жительства - C:\WINDOWS\system32.
Когда запишите файл, перезагрузите компьютер и сделайте лог gmer - похоже, Вы успели подхватить кое-что нехорошее.
I am not young enough to know everything...
сделал
Пофиксите в HiJack
Выполните скрипт в AVZКод:O20 - AppInit_DLLs: WLControl.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('ltuaiqd.sys'); DeleteFile('oiicqoep.sys'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал.
После перезагрузки начали выпригивать окна IE одно за другим - несколько десятков
после того как ввел в одном окне IE пароль к брандмауэру - перестали выскакивать. раньше такого не было
Больше ничего плохого не видно.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\common files\\service share\\lsass.exe - Backdoor.Win32.Delf.zfl ( DrWEB: Trojan.DownLoader2.40336, BitDefender: Trojan.Generic.KD.198223, NOD32: Win32/Delf.QBX trojan, AVAST4: Win32:Malware-gen )
- c:\\program files\\internet explorer\\rasadhlp.dll - Trojan.Win32.Pakes.ozy ( DrWEB: Trojan.Click1.34079, BitDefender: Trojan.Generic.5899834, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.BHO.bmll ( DrWEB: Trojan.BhoSiggen.4229, BitDefender: Gen:Variant.Buzy.1635, AVAST4: Win32:Small-NTF [Trj] )
- c:\\program files\\outlook express\\rasadhlp.dll - Trojan.Win32.Pakes.ozy ( DrWEB: Trojan.Click1.34079, BitDefender: Trojan.Generic.5899834, AVAST4: Win32:MalOb-IJ [Cryp] )
Уважаемый(ая) Egorik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.