-
Junior Member
- Вес репутации
- 51
Trojan.pws.ibank и другие вирусы, тормозит система
Сделал проверку cureit - нашел множество файлов, около 24-х ,вроде "QieTx4.exe" в system32, опозновались как Trojan.pws.ibank ХХ (ХХ - двузначное число).При повторных проверках, подобных файлов не находилось, однако система постоянно загружена на 50% и более, проблематично зайти на любой сайт, загружается с 10-20-й попытки.Стоит NOD 32 с последними базами, в данный момент не находит ничего.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
Executerepair(14);
Executerepair(20);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
-
-
Junior Member
- Вес репутации
- 51
Все сделал, проблема с загрузкой процессора и сайтами осталась. 50% - процесс lsass.exe 50 % антивирус NOD32, симптомы проявляются не сразу, а где-то через 5 мин.работы.
-
Выполните скрипт
Код:
begin
ExecuteFile('route.exe', '-f', 0, 0, false);
RebootWindows(true);
end.
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 51
скрипт выполнил, за 5 мин.работы, сайты выдали ошибку всего 3 раза, правда gmail загружается раза с 10-го..странно. lsass.exe вроде спокоен.Логи прикрепил, проверьте на всякий случай.
-
-
-
Junior Member
- Вес репутации
- 51
При продолжительной работе все снова повторяется (теперь буйствуют процессы system и explorer.exe), на некоторые сайты теперь вообще невозможно войти.Прикрепил лог MBAM.
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\System Volume Information\_restore{1604FC21-A944-4E59-9172-6E673080F76A}\RP6\A0057478.exe ',' ');
QuarantineFile('D:\Downloads\Emulator\Pcsx2-r2283\plugins\PadSSSPSX-PM.dll ',' ');
QuarantineFile('C:\Total Commander GP Mini\Plugins\ARC\Default.sfx ',' ');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
-
-
Junior Member
- Вес репутации
- 51
Скрипт выполнил, карантин отправил
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('D:\System Volume Information\_restore{1604FC21-A944-4E59-9172-6E673080F76A}\RP6\A0057478.exe ',' ');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
Просканируйте ПК AVPTool
-
-
Junior Member
- Вес репутации
- 51
При попытке выполнить скрипт - Ошибка скрипта: Too many actual parameters, позиция [4:13]
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('D:\System Volume Information\_restore{1604FC21-A944-4E59-9172-6E673080F76A}\RP6\A0057478.exe');
RebootWindows(true);
end.
Компьютер перезагрузится
Просканируйте ПК AVPTool
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Скрипт выполнил, ПК сканировал AVPTool ночью, перед удалением D:\System Volume Information\_restore{1604FC21-A944-4E59-9172-6E673080F76A}\RP6\A0057478.exe.Нашел в папке program files/java 9 файлов - 1 exploit.java.agent и 8 trojan-downloader.java.agent, вылечил, дошел до 98% и завис - как раз на еще не удаленном D:\System Volume Information\...лог естественно не сохранился.Еще, теперь при перезагурзке ПК уходит в БСОД, ругается на iastor86.sys
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('iastor86.sys','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
-
-
Junior Member
- Вес репутации
- 51
Скрипт выполнил, карантин закачал:
Файл сохранён как 100516_130751_virus_4befb5e751171.zip
Размер файла 849
MD5 7dc4b18fa65bba4a2691c53bbd0b12ad
-
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 51
Сделано, после того как поставил обновления, в логе написано что уязвимостей нет. Нечаянно стер первоначальный лог последующим, но пункты запомнил, скопировал из скрипта, вставил в avz_log.txt
-
-
-
Junior Member
- Вес репутации
- 51
Теперь все в порядке.Спасибо большое!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения вредоносные программы в карантинах не обнаружены
-