Подхватил заразу в интернете, ESET NOD32 3.0.684.0 с актуальными базами не среагировал. Симптомы следующие. Перестал работать интернет (Opera, IExplorer) и TheBat по 25 и 110 портам, хотя по 465 и 995 портам соединение работает. Локальная сеть также работает.
При попытке запуска cmd.exe, regedit.exe и totalcmd.exe программы не запускаются, а
происходит перезагрузка оболочки explorer. Переименованные cmd_1.exe, regedit_1.exe и totalcmd_1.exe тоже не запускаются.
Запуск CureIt в безопасном режиме обнаружил три зараженных архива с троянами AdvWare.Win32.Cydoor и AdvWare.Win32.TimeSink.
После этого в безопасном режиме с помощью RegCleaner убрал все лишнее/подозрительное из автозапуска реестра.
Логи AVZ и HiJackThis прилагаю.
Прошу о помощи.
С уважением,
Михаил
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Спасибо за приятную новость.
Подскажите, как пофиксить последствия. Интернет по-прежнему не доступен, попытки запуска cmd, regedit и totalcmd вызывают перезагрузку оболочки, а программы не запускаются. Не переустанавливать же систему из-за этого.
Заранее благодарен,
Михаил
Спасибо, спасибо.
К сожалению, мне досталась дурацкая лицензионная Windows XP MediaCenter Edition. Наполовину русская, а наполовину английская. Попытался установить русский SP3 - ответил, что не могу обновить файлы, так как не совпадают языки.
Если есть другие идеи как восстановить функциональность, пожалуйста напишите.
И еще вопрос. Много людей мается подобными проблемами со вчерашнего дня. Что оно такое, что за зараза?
CureIt в SafeMode нашел свежий Trojan.Download.36250 в файле c:\windows\rwlnw.yku. Написал, что убил, но потом файл появился снова. В нормальном режиме похоже, что не видит.
С горем пополам установил SP3-us. Установка зависала на finishing operatioins до тех пор, пока не убил два процесса - sc.exe и Windows_XP_kx 6887687. После этого установка SP3 завершилась успешно. Однако все проблемы остались. Интернет недоступен, cmd, regedit и totalcmd по-прежнему не запускаются.
Подскажите, плиз, что еще можно сделать?
Запустил переименованный regedit и поискал rwlnw.yku по всему реестру. Где-то в HKLM\System...\Services нашлась строчка его запуска. Удалил, перезагрузил систему по reset и как бабка пошептала. После этого c:\windows\rwlnw.yku удалился ручками, cmd, regedit и пр. запускаются, интернет тоже работает.
Всем, кто помогал, огромное спасибо.
Добавлено через 11 часов 59 минут
RootRepeal при запуске сканирования терпит крах с диагностикой
При следующем запуске написал
Error - could not init. MFT runlist!
Runtime error!
This application has requested the Runtime to terminate it in an unusual way...
Поведение системы вполне нормальное.
Последний раз редактировалось SMichael; 12.05.2009 в 23:27.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: