-
Junior Member
- Вес репутации
- 53
Посмотрите пожалуйста логи
компьютер был заражен get accelerator, переустновили windows, начались помехи со звуком, при проверке dr web был найден троян в system volume information, удален. Переустановила драйвера - проблемы со звуком остались. Потом dr web начал находить Win32.HLLW.Shadow.based
Посмотрите пожалуйста приложенные логи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В HiJackThis пофиксите:
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe hypc.xyo oprcuxf
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\hypc.xyo','');
DeleteFile('C:\WINDOWS\system32\hypc.xyo');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
Executerepair(8);
Executerepair(16);
ExecuteWizard('TSW',3,3,true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
имеет значение какой браузер был запущен? у меня нет эксплорера.
вот новые логи.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
карантин отправила.
вот логи
-
Junior Member
- Вес репутации
- 53
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('D:\System Volume Information\_restore{04CF3E35-2A2C-410D-8BA5-10406BB63DA0}\RP410\A0129813.exe','');
DeleteFile('D:\System Volume Information\_restore{04CF3E35-2A2C-410D-8BA5-10406BB63DA0}\RP410\A0129813.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Выполнила, что Вы сказали.
-
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('E:\System Volume Information\_restore{04CF3E35-2A2C-410D-8BA5-10406BB63DA0}\RP419\A0136495.exe','');
QuarantineFile('E:\System Volume Information\_restore{04CF3E35-2A2C-410D-8BA5-10406BB63DA0}\RP419\A0136179.exe','');
QuarantineFile('E:\System Volume Information\_restore{04CF3E35-2A2C-410D-8BA5-10406BB63DA0}\RP417\A0134691.exe','');
QuarantineFile('E:\System Volume Information\_restore{04CF3E35-2A2C-410D-8BA5-10406BB63DA0}\RP417\A0134374.exe','');
DeleteFile('E:\System Volume Information\_restore{04CF3E35-2A2C-410D-8BA5-10406BB63DA0}\RP417\A0134374.exe');
DeleteFile('E:\System Volume Information\_restore{04CF3E35-2A2C-410D-8BA5-10406BB63DA0}\RP417\A0134691.exe');
DeleteFile('E:\System Volume Information\_restore{04CF3E35-2A2C-410D-8BA5-10406BB63DA0}\RP419\A0136179.exe');
DeleteFile('E:\System Volume Information\_restore{04CF3E35-2A2C-410D-8BA5-10406BB63DA0}\RP419\A0136495.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите диск, на вкладке Дополнительно – Восстановление системы нажмите Очистить Так для каждого диска.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог virusinfo_syscheck.zip. (пункт 2 Диагностики)
-
-
Junior Member
- Вес репутации
- 53
-
Плохого не видно. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
думаю, пациент скорее здоров, чем мертв))) Спасибо Вам большое)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 5
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\hypc.xyo - Backdoor.Win32.Bredavi.azz ( DrWEB: Trojan.DownLoad1.12125, NOD32: Win32/Oficla.AP trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\overlapp32.dll - Trojan.Win32.Delf.rtp ( AVAST4: Win32:Malware-gen )
- c:\windows\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.izg ( DrWEB: Trojan.PWS.Panda.195, AVAST4: Win32:Malware-gen )
-