-
Junior Member
- Вес репутации
- 52
Проблема с лечением HEUR:Trojan.Win32.Generic
Все началось с того, что перестали грузиться сайты типа google.com, drweb.com, kaspersky.ru, microsoft.com. Провайдер сообщил, что это скорее всего вирус, а не настройки DNS.
НОД ничего не нашел даже с обновлениями.
Др.Вэб КурИт нашел Trojan.MulDrop.64715 в system32
После установки Касперского 2010 обнаружился HEUR:Trojan.Win32.Generic во временном хранилище IE.
После его удаления и перезагрузки Касперский смог обновиться и нашел в System Volume Information вирус Packed.Win32.Krap.w
По совету одного из форумов я выполнил 2 действия:
- отключил DNS-клиент
- удалили все IP-адреса в реестре в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\PersistentRoutes
Адреса заработали, но вирус остался, т.к. периодически возникает сообщение о попытке скачать вирус из интернета и появляются трояны
в хранилище IE, папке system32. В частности Trojan-Dropper.Win32.Delf.dzt
Есть ли способ избавиться от основного вируса?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\pfrjgay.exe,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\pfrjgay.exe','');
QuarantineFile('C:\DOCUME~1\dimouah\LOCALS~1\Temp\tuhyiolh.dll','');
DeleteFile('C:\DOCUME~1\dimouah\LOCALS~1\Temp\tuhyiolh.dll');
DeleteFile('\\?\globalroot\systemroot\system32\pfrjgay.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Карантин закачал. Здесь новые логи.
-
Что сейчас с проблемой? Плохого не видно в логах
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Касперский ничего не видит подозрительного.
Сейчас попробую полную проверку прогнать.
-
Профиксить надо вот это:
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\pfrjgay.exe,
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Попробовал еще раз пофиксить. Обновил логи.
-
Сами блокироали?
>> Заблокирована возможность завершения сеанса
>> Меню Пуск - заблокированы элементы
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Сами блокироали?
Сам не блокировал. Как их разблокировать?
Сообщение от
thyrex
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8
Установите Adobe Acrobat 9.3 или удалите старый
Попробую все это установить.
-
Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
1. Блокировки с помощью AVZ снял.
2. Установил продукты:
- SP3 + все новые патчи
- Internet Explorer 8
- Adobe Acrobat Reader 9.3.1
(ридера хватит или нужно переустановить полный пакет?)
3. Проверил диск C:\ Касперским полностью. Ничего не нашел.
4. Обновил логи.
Последний раз редактировалось dimouah; 11.04.2010 в 18:47.
-
В логах чисто.
Еще что-нибудь беспокоит?
-
-
Junior Member
- Вес репутации
- 52
Вроде бы все отлично! Спасибо огромное!
А в карантине был вирус?
-
Trojan.PWS.Ibank.28 (DR Web)
Добавлено через 5 минут
посмотрите тут
Последний раз редактировалось polword; 12.04.2010 в 14:27.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 52
Ну вроде бы лечение закончено.
Спасибо огромное за помощь!
Обычно для меня борьба с такого рода зловредами
заканчивалась перестановкой Windows.
Благодаря вашему ресурсу, операционка осталась жить.
Спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- \\?\globalroot\systemroot\system32\pfrjgay.exe - Trojan-Dropper.Win32.Shiz.at ( DrWEB: Trojan.PWS.Ibank.28 )
-