-
Junior Member
- Вес репутации
- 51
Синий экран после лечения
Полная проверка Dr. Web CureIt! обнаружила на машине несколько троянов, полечился, запустил HijackThis, перед тем как фиксить, сделал образ системы, потом пофиксил, что знал или что показалось подозрительным. Через три дня комп снова заражен, причем теми же троянами... Мало того, машина начинает висеть и выпадает синий экран. По коду ошибки - 0х00000050 (Такое поведение наблюдается, когда компьютер заражен одной из разновидностей вируса HaxDoor. - это с саппорта от микрософт). До попытки лечения комп работал "нормально" - без синьки, но с тормозами в IE и вообще при открытии каких-либо программ. Задача вернуть машину в рабочее состояние и избавиться от вирусов. Заранее спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\WINDOWS\system32\sol.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
карантин выслал, новые логи приложил.... пока детально не изучал систему, но IE почему-то не захотел запускаться.... пробую разобраться.
-
Junior Member
- Вес репутации
- 51
с-с-сори, IE работает... уже можно запускать полную проверку Dr. Web CureIt! ?
-
подозрительного нет
Добавлено через 42 секунды
можете запускать
Последний раз редактировалось polword; 07.06.2010 в 09:09.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
ОГРОМЕННОЕ СПАСИБО за предоставленную помощь!!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sfcfiles.dll - Trojan-Spy.Win32.Agent.bgdd ( DrWEB: Trojan.WinSpy.815, AVAST4: Win32:Agent-OJW [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-