-
Junior Member
- Вес репутации
- 57
Трояны блокируют все браузеры
Здравствуйте
Попал троян, бесплатный немецкий AVP обнаружил его, обнаружил и скрытые процессы, но не смог удалить, в итоге эта зараза заблокировала работу всех браузеров, установленных на моем компе (Opera, Firefox, IE - ни один не запускается). Поставил KIS, удалось обнаружить и удалить часть троянцев, но система по прежнему глючно работает, браузеры всё также не запускаются, иногда независимо от приложения в котором находишься выскакивает окошечко с надписью ''hello''. Также до обнаружения "каспером" заразы, система сама перезанружалась предварительно выдавав окошечко о том, что через 30 сек. комп будет перезагружен в связи с остановкой процесса Local authority...
Система XP SP3
Помогите убрать всю эту дрянь
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол.;
- восстановление системы;
- выполните скрипт
Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
После выполнить:
- включите антивирус и файрволл
- подключите ПК к интернету/локалке
- закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 57
Карантин подгрузил
Новые логи:
-
В логах подозрительного не увидел.
rasadhlp.dll - ждем вердикта аналитиков.
Проблемы остались?
-
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
QuarantineFile('C:\WINDOWS\system32\CRYPTO32W.DLL','');
DeleteFile('C:\WINDOWS\system32\CRYPTO32W.DLL');
DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог virusinfo_syscheck
Последний раз редактировалось AndreyKa; 14.11.2009 в 21:15.
-
-
Junior Member
- Вес репутации
- 57
Карантин отправил
Отлично)) Браузеры заработали но при запуске Opera или Firefox или Safari выскакивает окошко "hello" (скриншот прилагаю)
-
Выполнить скрпт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(5);
Executerepair(6);
Executerepair(7);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(false);
end.
Компьютер перезагрузится
Отпишитесь
-
-
Junior Member
- Вес репутации
- 57
Скрипт выполнил.
Но когда запускаю Opera во время запуска опять выскакивает окошечко "hello" и только после того как я в этом окошке нажму "ок" браузер начинает функционировать
Самое интересное, что IE запускается нормально
Скриншот при загрузке Opera:
Последний раз редактировалось mahaprabhu; 14.11.2009 в 22:31.
-
-
-
Junior Member
- Вес репутации
- 57
у меня с браузерами все в порядке, в опере в настройках Javascript всё чисто, а в Firefox нет подозрительных дополнений.
однако это гадкое окошечко при загрузке выскакивает. Может браузеры переустановить?
-
иногда независимо от приложения в котором находишься выскакивает окошечко с надписью ''hello''.
Эта проблема осталась, или только при запуске файрвокса и оперы?
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
shapel
Эта проблема осталась, или только при запуске файрвокса и оперы?
проблема осталась, то Opera, Firefox, Safari, IE не запускались, а googlechrome зависал , потом после запуска Ваших скриптов IE и Chrome стали запускаться без проблем, а в Opera, FF и Safari вылезает окошко "hello" - оно и до лечения вылетало, но только в Safari, потомучто это единственный браузер который мне удалось запустить после заражения и то после n-ной перезагрузки
-
Логи с запущенными Opera, Firefox, Safari сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Сделал логи с запущенными Opera, Firefox и Safari (только в Safari я оставил висящим окошко "Hello", тогда как в Opera и FF я нажал ОК и тем самым запустил браузеры в работу)
Ещё одна небольшая проблема: после заражения и после каждой загрузки системы вылезал мастер нового оборудования, я подумал, что вирусняк подъел софт какого-то железа на компе и я его потом переставлю, но потом как оказалось всё железо работает в норме, все дрова и весь софт уцелели, но мастер нового оборудования все-равно лезет каждый раз при загрузке системы. Виноват, сразу об этом не сообщил.
-
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Opera 10\rasadhlp.dll','');
QuarantineFile('C:\Program Files\Mozilla Firefox\rasadhlp.dll','');
QuarantineFile('C:\Program Files\Safari\rasadhlp.dll','');
DeleteFile('C:\Program Files\Safari\rasadhlp.dll');
DeleteFile('C:\Program Files\Mozilla Firefox\rasadhlp.dll');
DeleteFile('C:\Program Files\Opera 10\rasadhlp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог virusinfo_syscheck
-
-
Junior Member
- Вес репутации
- 57
Все в порядке, окошко "hello" больше не появляется, браузеры работают стабильно. Допекает только "мастер нового оборудования", который находит якобы установленное устройство High definition audio, которого на самом деле и в помине нет в машине
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\RtkHDAud.sys','');
DeleteService('IntcAzAudAddService');
DeleteFile('C:\WINDOWS\system32\drivers\RtkHDAud.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог + доложите, что с проблемой
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Отправил карантин. Проблема осталась. Лог сделал
-
Если устройство удалить в Диспетчере устройств, оно появляется после перезагрузки?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
thyrex
Если устройство удалить в Диспетчере устройств, оно появляется после перезагрузки?
Да, пробовал удалять, но при след. загрузке снова вылезает