Показано с 1 по 8 из 8.

Поймал вирус который блокирует работу браузера. (заявка № 50683)

  1. #1
    Junior Member Репутация
    Регистрация
    25.07.2009
    Сообщений
    4
    Вес репутации
    54

    Exclamation Поймал вирус который блокирует работу браузера.

    Добрый день. Возникла такая проблема у меня windows xp sp3 заметил что фаерфокс странно работает страницы перестают грузится, как будто кто-то нажимает на стоп через мгновение после того, как я нажал перейти. В диспетчере процессов висит не понятный процесс msddrv42.exe. После его выключения все начинает работать нормально , но через какое то время он самостоятельно включается. Я очистил кэш браузера, запустил проверку в безопасном режиме с помощью avz, AVPTool и Cureit. Вот что нашел AVPTool :
    обнаружено: троянская программа Trojan.Win32.Agent.crim Файл: c:\recycler\s-1-5-21-0117398463-9620705322-155352055-6094\mwau.exe
    обнаружено: троянская программа Backdoor.Win32.SdBot.obb
    Файл: c:\windows\msddrv42.exe
    обнаружено: троянская программа Trojan-Downloader.Win32.Adload.hcj Файл: C:\Documents and Settings\Admin\Application Data\FieryAds\FieryAdsUninstall.exe
    обнаружено: троянская программа Backdoor.Win32.SdBot.obb Файл: C:\Documents and Settings\Admin\Local Settings\Temp\451.exe
    обнаружено: троянская программа Backdoor.Win32.SdBot.obb Файл: C:\Documents and Settings\Admin\Local Settings\Temp\497.exe
    обнаружено: троянская программа Backdoor.Win32.SdBot.obb Файл: C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\HKUX2NSN\fw[1].exe
    Cureit находит тоже самое. Но после удаления и перезагрузки они вылазят по новой. Подскажите пожалуйста что я могу еще сделать?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\msddrv42.exe','');
     DeleteFile('C:\WINDOWS\msddrv42.exe');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    25.07.2009
    Сообщений
    4
    Вес репутации
    54
    Скрипт выполнил.Карантин выслал. Вот логи. Спасибо.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\msddrv42.exe
    O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\msddrv42.exe
    O4 - Startup: is-OT034.lnk = ?
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\RECYCLER\S-1-5-21-0117398463-9620705322-155352055-6094\mwau.exe','');
     QuarantineFile('C:\auth\authcliw.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\tandpl.sys','');
     QuarantineFile('c:\windows\system32\18.scr','');
     DeleteFile('c:\windows\system32\18.scr');
     DeleteFile('C:\RECYCLER\S-1-5-21-0117398463-9620705322-155352055-6094\mwau.exe');
     DeleteFile('C:\WINDOWS\msddrv42.exe');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил.
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    25.07.2009
    Сообщений
    4
    Вес репутации
    54
    Скрипты выполнил.Карантин отправил, хочу заметить что authcliw.exe это программа авторизатор моего интернет провайдера. Логи прилагаю. Спасибо вам.

    PS:проработал час вируса видно не было, но сейчас опять вылез.
    Вложения Вложения
    Последний раз редактировалось MagD; 25.07.2009 в 20:43.

  7. #6
    Junior Member Репутация
    Регистрация
    25.07.2009
    Сообщений
    4
    Вес репутации
    54
    Просканировал еще раз cureitом и AVPTool в безопасном режиме
    Курейт находит вот это:
    Код HTML:
    mwau.exe C:\RECYCLER\S-1-5-21-7705445491-9633675743-543117042-3551 Win32.HLLW.Lime.8
    msddrv42.exe C:\windows Trojan.Siggen.3093
    796.exe C:\Documents and Settings\Admin\Local Settings\Temp Trojan.Siggen.3093
    fw[1].exe C:\Documents and Settings\Admin\LocalSettings\TemporaryInternet Files Trojan.Siggen.3093
    b[1].exe C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\AYQJMUP Win32.HLLW.Lime.8
    35.scr C:\WINDOWS\system32 Win32.HLLW.Lime.8
    81.scr C:\WINDOWS\system32 Win32.HLLW.Lime.8
    AVPTool находит это:

    Код HTML:
    удалено: троянская программа Backdoor.Win32.SdBot.obb    Файл: C:\Documents and Settings\Admin\Local Settings\Temp\087.exe
    удалено: троянская программа Trojan.Win32.Agent.crim    Файл: C:\Documents and Settings\Admin\Local Settings\Temp\128.exe
    удалено: троянская программа Backdoor.Win32.SdBot.obb    Файл: C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\2FJ4PPAZ\fw[1].exe
    удалено: троянская программа Trojan.Win32.Agent.crim    Файл: C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\2FJ4PPAZ\pp[1].exe
    удалено: троянская программа Trojan.Win32.Agent.crim    Файл: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HPIYBM6N\b[1].exe
    удалено: троянская программа Trojan.Win32.Agent.crim    Файл: C:\RECYCLER\S-1-5-21-6626072698-7472222209-895185328-4073\csvcs.exe
    удалено: троянская программа Backdoor.Win32.SdBot.obb    Файл: c:\windows\msddrv42.exe
    Но после ребута все опять восстанавливается (

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В последних логах все в порядке.
    Установите все критические обновления, вышедшие после SP3, и антивирус.
    I am not young enough to know everything...

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\recycler\s-1-5-21-0117398463-9620705322-155352055-6094\mwau.exe - Trojan.Win32.Agent.crim ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.C )
      2. c:\windows\msddrv42.exe - Backdoor.Win32.SdBot.obb ( DrWEB: Trojan.Siggen.3093 )
      3. c:\windows\system32\18.scr - Trojan.Win32.Agent.crim ( DrWEB: Win32.HLLW.Lime.8, BitDefender: Worm.P2P.Palevo.C )


  • Уважаемый(ая) MagD, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 26.07.2012, 23:13
    2. internet.com блокирует работу браузера
      От Spicool в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 29.11.2011, 17:55
    3. Поймал вирус который добавляет скрипт
      От r55art в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.06.2011, 20:29
    4. блокирует работу браузера, загружает систему (заявка №74305)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 02.06.2011, 21:00
    5. Ответов: 5
      Последнее сообщение: 26.04.2011, 20:01

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00473 seconds with 20 queries