Был баннер (ПО File Downloader), убрал утилитой get2.zip.
Удалил файл %systemroot%\system32\drivers\swenum.sys
Файл самовосстановился.
Логи прикрепил.
Посмотрите, может что еще найдется =)
Был баннер (ПО File Downloader), убрал утилитой get2.zip.
Удалил файл %systemroot%\system32\drivers\swenum.sys
Файл самовосстановился.
Логи прикрепил.
Посмотрите, может что еще найдется =)
Немного нашлось. Выполнить скрипт:
Сделать заново логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Winter Chaos\Главное меню\Программы\Автозагрузка\siszyd32.exe',''); DeleteFile('C:\Documents and Settings\Winter Chaos\Главное меню\Программы\Автозагрузка\siszyd32.exe'); QuarantineFile('C:\Program Files\Fiddler2\Fiddler.exe',''); QuarantineFile('C:\WINDOWS\TEMP\~TMFE58.tmp',''); DeleteFile('C:\WINDOWS\TEMP\~TMFE58.tmp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Скрипт выполнил.
Карантин прислал.
Новые логи прикрепил.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}'); QuarantineFile('C:\Documents and Settings\Winter Chaos\Application Data\AdSubscribe\AdSubscribe.dll',''); DeleteFile('C:\Documents and Settings\Winter Chaos\Application Data\AdSubscribe\AdSubscribe.dll'); DeleteFileMask('C:\Documents and Settings\Winter Chaos\Application Data\AdSubscribe', '*.*', true); DeleteDirectory('C:\Documents and Settings\Winter Chaos\Application Data\AdSubscribe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
В карантине ничего нового не появилось.
Новый лог прикрепил.
svchosts.exe - стал грузить процессор на 50%
Выполните скрипт в avz
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\WinFl32.sys',''); end.
Прислал
Файл чистый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
AVZPM установите. перезагрузитесь, сделайте логи.
В общем, будем искать (с) "Брилиантовая рука"
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сделал новые логи
Восстановление системы: включено --- Вот он и возвернулся . Выполнить скрипт:
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\TempNOD4.tmp',''); QuarantineFile('C:\WINDOWS\Temp\431c34f6.tmp',''); QuarantineFile('C:\Documents and Settings\Winter Chaos\Главное меню\Программы\Автозагрузка\siszyd32.exe',''); DeleteFile('C:\Documents and Settings\Winter Chaos\Главное меню\Программы\Автозагрузка\siszyd32.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполнил)
Вот теперь все отлично =)
Спасибо!
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Вот он =)
Чисто
Проблема себя не проявляет.
Процессор в простое спокоен.
Сайты открываются свободно.
Ничего не замечено.
Большое спасибо за помощь! Это лучший сайт помощи =)
За этим считаю проблему решенной
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\winter chaos\главное меню\программы\автозагрузка\siszyd32.exe - Trojan-Dropper.Win32.Agent.bjpb ( DrWEB: Trojan.MulDrop.53398, BitDefender: Trojan.Generic.2898643, AVAST4: Win32:Small-NDO [Trj] )
- c:\windows\temp\~tmfe58.tmp - Trojan-Dropper.Win32.Agent.bjpb ( DrWEB: Trojan.MulDrop.53398, NOD32: Win32/TrojanProxy.Tikayb.A trojan, AVAST4: Win32:Small-NDO [Trj] )
Уважаемый(ая) Winter Chaos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.