-
Junior Member
- Вес репутации
- 57
вирус
Добрый день. Прошу помочь.
Зашел на приличный сайт и браузер завис, фаервол выдал сообщение об изменении файла c.dll, расположенного в папке system32. Кажется ранее его не было. После этого перестали включаться ДрВеб, AVZ, HiJackThis, Диспетчер задач, редактор реестра, пропала закладка Восстановления системы. Так же добавился файл nettir32.exe в автозагрузке. При открывании папок, окна закрываются автоматически.
Не могу выполнить проверку по правилам.
Проверил диск на другой системе ДрВебом с обновлениями. Пишет, что вирусов нет. На Вас вся надежда. Прошу совет.
Последний раз редактировалось zoneclear; 29.05.2010 в 19:18.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Попробуйте сделать логи полимофорным авз из моей подписи.
-
-
Junior Member
- Вес репутации
- 57
При запуске avz.exe выключается компьютер. Запускал в обычном режиме (не безопасном).
Файл в автозакгрузке nettir32.exe я переименовал в nettir32.ex_ и поместил в отдельную папку в автозагрузке. И теперь при загрузке системы открывается эта папка.
Может удалить файл c.dll из system32?
-
1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
Содержимое этого параметра напишите в своем сообщении
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Спасибо thyrex. Завтра достану резак и вышлю содержимое параметра.
-
Junior Member
- Вес репутации
- 57
По этому параметру в поле Type написано Reg_SZ, в поле Data написано D:\Windows\System32\c.dll
-
- Переименуйте этот файл
- Очистите значение параметра AppInit_DLLs
- Пробуйте загрузиться в обычном режиме, если получиться - сделайте комплект логов по правилам
Пришлите переименованный файл D:\Windows\System32\c.dll запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 57
Выслал карантин (переименован в c_badboy.dll). Логи получились, но базы AVZ от 8 мая, так как при автообновлении выскакивала ошибка "Ошибка в ходе автообновления - ошибка загрузки файла с описанием обновления avzupd.zip".
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\syschecked.exe','');
DeleteFile('D:\WINDOWS\system32\syschecked.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Sys.Check');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(6);
ExecuteREpair(20);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Попробуйте обновить базы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Базы обновились. Выслал логи и карантин.
Подскажите, файл c.dll, который бал переименован, позже надо будет удалить? И еще при загрузке системы появляется окно (папка) с файлом nettir32.ex_. Изначально файл был nettir32.exe в папке Автозагрузка (я его самовольно переименовал и переместил).
-
Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\PROGRAMS\FLASHGET\jccatch.dll (file missing)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\fgiebar.dll (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRAMS\FLASHGET\flashget.exe (file missing)
больше ничего подозрительного
Сообщение от
zoneclear
Подскажите, файл c.dll, который бал переименован, позже надо будет удалить?
- удалите
Сообщение от
zoneclear
И еще при загрузке системы появляется окно (папка) с файлом nettir32.ex_. Изначально файл был nettir32.exe в папке Автозагрузка (я его самовольно переименовал и переместил).
-Пришлите этот файл запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
- Проведите процедуру, которая описана в первом сообщении тут.
-
-
А также
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Исполнил рекомендации polword (обновления системы позже сделаю). Процедуру автосбора файлов для AVZ провел. Выслал логи RSIT и карантин.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\vhi.dll','');
QuarantineFile('D:\WINDOWS\system32\kljszs.dll','');
QuarantineFile('D:\WINDOWS\system32\pxku.dll','');
QuarantineFile('D:\WINDOWS\system32\ynsajf.dll','');
DeleteFile('D:\WINDOWS\system32\ynsajf.dll');
DeleteFile('D:\WINDOWS\system32\pxku.dll');
DeleteFile('D:\WINDOWS\system32\kljszs.dll');
DeleteFile('D:\WINDOWS\system32\vhi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(19);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
-
Чисто. Обновляйте систему
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Спасибо thyrex и остальным хелперам. Осталась последняя проблема. При загрузке системы появляется окно (папка) с файлом nettir32.ex_. Изначально файл был nettir32.exe в папке Автозагрузка (я его переименовал и переместил). Я его в архиве ZIP выслал. Нужно ли его удалить? И как убрать старт окна?
И еще вопрос. Были ли среди вредителей такие, которые воруют пароли?
Последний раз редактировалось zoneclear; 31.05.2010 в 21:58.
-
Пофиксите в HiJack
Код:
O4 - Startup: карантин
Сообщение не появляется?
Воришек паролей нет в карантине
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Сообщение не появляется и папка с файлом удалились.
Еще раз сделал стандартный скрипт №2 в AVZ. Эта запись в логе вызвала подозрение. "7. Эвристичеcкая проверка системы
>>> D:\WINDOWS\system32\Drivers\sptd.sys ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Проверка завершена".
На всякий случай сразу высылаю этот лог. Будь добр, скажи - вредно это или нет.
И еще одно в папке где установлен HiJackThis.exe появился файл trend.exe (trend - это учетная запись в системе) с такой же графической иконкой файла как у HiJackThis.exe. Это не вредоносная активность?
Последний раз редактировалось zoneclear; 01.06.2010 в 00:37.
-
sptd.sys - это от эмулятора дисков. Файл чистый.
trend.exe запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-