-
Junior Member
- Вес репутации
- 61
Прогрессирующие остатки вируса
Стал совсем медленно работать internet explorer.
avz нашел тучу перехватчиков всяких user32.dll, wininet.dll и тд (тут на форуме недавно была тема с таким же списком, штук 40 перехватов).
дрвеб нашел троян в памяти, но дальше проверка диска шла очень медленно (меньше 20% за первый час), я остановил.
avz еще мог обновляться.
дальше пошли зависания с синим экраном page fault чего-то там при запуске ie или regedit, в какой-то момент после рестарта пропал десктоп (ярлыки и тд - эксплорер не запускался).
частично поборол - вернул десктоп, удалил кучку абракадабр.ехе в system32 (avz их не находил, но они были прописаны ключем к userinit в winlogon), avz перестал показывать перехватчики и вообще почти ничего не показывает.
Но, - синие экраны продолжаются, ie все равно сильно тормозит, при запуске появляется два процесса iexplorer.exe делящие пополам 100%, пришлось перейти на фаерфокс, дальше закрылся доступ к антивирусным сайтам (в т.ч. virusinfo), avz перестал обновляться, - пишу с другого компьютера. Вирус прогрессирует.
Кстати, из отчета "статический адрес антивирусных сайтов" - а где это в системе можно посмотреть? Ведь это не etc\hosts.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\sm56hlpr.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\CTFМОN.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\rqmutrnw.sys','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\nups.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\kutoutlx.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smserial.sys','');
DeleteService('kutoutlx');
DeleteService('Nups');
DeleteService('rqmutrnw');
DeleteFile('C:\WINDOWS\system32\drivers\kutoutlx.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys');
DeleteFile('C:\WINDOWS\system32\drivers\rqmutrnw.sys');
DeleteFile('C:\WINDOWS\CTFМОN.exe');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\services.exe');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lsass driver');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CTFМОN.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','services');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','services');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','services');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 61
Спасибо за помощь
Карантин выслал (sm56 это драйвер модема)
IE вроде бы работает нормально, доступ к антивирусным сайтам вернулся.
Логи прилагаю.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sfcfiles.dll - Trojan-Spy.Win32.Agent.bfzr ( DrWEB: Trojan.WinSpy.815 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-