Каспер ничего не нашел, dr.web cureit нашел винлокер
после удаления winwyo32.exe из автозагрузки winlogon грузит цп на 100% до него цп грузил svchost
Каспер ничего не нашел, dr.web cureit нашел винлокер
после удаления winwyo32.exe из автозагрузки winlogon грузит цп на 100% до него цп грузил svchost
Последний раз редактировалось dizarm; 21.05.2010 в 20:42.
Пофиксите в hiJack
Выполните скрипт в AVZКод:R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: Shell=explorer.exe,user32.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\tP7iy9G.exe,\\?\globalroot\systemroot\system32\DS50IR0.exe,
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\WINDOWS\system32\mssfc.dll',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('\\?\globalroot\systemroot\system32\tP7iy9G.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\DS50IR0.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\DS50IR0.exe'); DeleteFile('\\?\globalroot\systemroot\system32\tP7iy9G.exe'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); DeleteFile('C:\WINDOWS\system32\mssfc.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(16); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
новый лог =)
Логи AVZ где?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
все логи
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin DeleteFile('C:\WINDOWS\system32\mssfc.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end.
Сделайте новый лог virusinfo_syscheck.zip + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
после проверки combofix ом отчет сделать не получилось, хотя все стало работать нормально, при повторном запуске combofix зависает.
лог от AVZ
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); DeleteFile('C:\WINDOWS\system32\mssfc.dll'); QuarantineFile('%windir%\system32\sfcfiles.dll',''); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll'); DeleteFile('%windir%\system32\sfcfiles.bak'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Проверьте наличие файла sfcfiles.dll в папке system32. Если не обнаружите, восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
новые логи =)
Плохого не видно
Удалите ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Отлично, спасибо большое всем!=)
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\internet explorer\setupapi.dll - Trojan.Win32.BHO.agme
- c:\windows\system32\mssfc.dll - Trojan-Spy.Win32.Agent.bftn
- c:\windows\system32\sfcfiles.dll - Trojan-Spy.Win32.Agent.bfuh ( DrWEB: Trojan.WinSpy.787 )
- \\?\globalroot\systemroot\system32\ds50ir0.exe - Trojan.Win32.Inject.aqnb ( DrWEB: Trojan.PWS.Ibank.39 )
- \\?\globalroot\systemroot\system32\tp7iy9g.exe - Trojan.Win32.Scar.cggn ( AVAST4: Win32:Rootkit-gen [Rtk] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) dizarm, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.