-
Junior Member
- Вес репутации
- 51
Блокиованы сайты, ломаются браузеры и другое
Симптомы:
1. Не открываются сайты:
facebook.com
twitter.com
z-oleg.com
virusinfo.info
kaspersky.ru
kp.ru
hideme.ru
cbsnews.com
telegraph.co.uk
Однако нормально открываются odnoklassniki.ru и vkontakte.ru (сразу видно, что вирус не Made in Russia)
Заходить на блокированные сайты удается только через прокси-серверы. Файл hosts при этом в норме.
2. В браузерах случаются поломки:
* В Opera, Internet Explorer, Firefox, и, кажется, Safari у флеша перестал работать звук (вылечилось переустанкой Оперы; видимо, плагин общий на всех)
* При первом запуске Opera появляестя сообщение: "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав для доступа к этому объекту". Вторая попытка удается нормально. Однако после нескольких удачных открытий и закрытий браузера, появляется окно "Opera crashed while trying to show the crash dialogue for a previous crash". В большинстве случаев удавалось обойти это только переустановкой, но потом всё по кругу сначала.
* В Chrom-е каждая вкладка живет не больше 30 секунд, после чего она крашится.
* Internet Explorer по своим тормозам превзошел сам себя в несколько раз.
* Safari и Firefox почти не тестил, у них больше ничего не выявлялось.
3. (появилось чуть позднее) Не запускаются некоторые программы из автозапуска. В частности:
* Трей-иконка антивируса Symantec (сам антивирус, вроде, работает)
* Языковая панель (смена раскладки работает)
* explorer.exe
* Punto Switcher
После запуска профиля в трее вообще уже нет ничего, кроме часов и регулятора громкости.
Вручную удается открыть все программы.
4. (тоже позднее) Каждая попытка перезагрузки или выключения компьютера приводит к синему экрану.
5. (тоже позднее) В основной версии браузера Opera (10.60) перестало открываться окно выбора файла при нажатии "Обзор". Настройки ее в норме. Пришлось вкладывать логи через 10.10.
Вроде, всё пока.
Последний раз редактировалось Anton Diaz; 13.07.2010 в 23:20.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
StopService('Netprotocol');
QuarantineFile('\\?\globalroot\systemroot\system32\pbsvq13.exe','');
QuarantineFile('C:\WINDOWS\system32\aecces.exe','');
QuarantineFile('C:\Documents and Settings\Антон Lite\Application Data\netprotocol.exe','');
DeleteService('Netprotocol');
DeleteFile('C:\Documents and Settings\Антон Lite\Application Data\netprotocol.exe');
DeleteFile('\\?\globalroot\systemroot\system32\pbsvq13.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 51
1. Сайты открываются.
2. Браузеры, кажется перестали чудить.
3. Автозапуск автозапускается
4. Перезагрузка после скрипта была без синего экрана
5. Кнопка "обзор" работает
Похоже, вылечилось. Если что, отпишусь еще.
-
Выполните скрипт в AVZ
Код:
begin
QuarantineFileF('C:\WINDOWS\system32', '*.exe', false,'', 0, 0, '8.07.2010', '13.07.2010');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Восстановление системы было отключено. Некритично или надо заново прогнать Combofix со включенным восстановлением?
Последний раз редактировалось Anton Diaz; 14.07.2010 в 02:15.
-
Junior Member
- Вес репутации
- 51
А еще какая-то программа вылетела и появилось окно отправления отчета Мелкомягким (вроде, PEV.cfxxe)
-
c:\windows\System32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\v9FR8YZ.exe
c:\windows\system32\DzzA779.exe
c:\windows\system32\HfetQTh.exe
c:\windows\system32\hdti61T.exe
c:\windows\system32\GnvdgbQ.exe
c:\windows\system32\yycccRG.exe
c:\windows\system32\fPSPNgm.exe
c:\windows\system32\97Y1ohM.exe
c:\windows\system32\ND1uVZv.exe
c:\windows\system32\boCLePc.exe
c:\windows\system32\xHeZ9oX.exe
Driver::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сорри, не понял насчет восстановления из дистрибутива. Диск с Виндой имеет 2-й Сервис Пак. А текущая Винда - 3-й. Никакого другого компа с нужной WinXP SP3 нет под рукой.
-
Надо бы диск с 3 сервис паком найти.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 51
А при помощи автообновления можно его восстановить?
Как раз сейчас это обновление и просится. Причем отменить не могу. Оставлю комп и лягу спать - обновится сам без всяких вопросов. Выключу/перезагружу - аналогично.
-
Junior Member
- Вес репутации
- 51
Файл взял у друга. Скрипт Combofix запустил. Экзешники успешно удалились
-
Удалите ComboFix
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Да, симптомы больше не наблюдаются.
-
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Удалил, OTCleanIt запустил.
Решена.
Всем спасибо
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 40
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\aecces.exe - Trojan-Dropper.Win32.VB.mxr ( BitDefender: Trojan.Generic.2996460, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\boclepc.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aO@Uezfi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\bvm1kfs.exe - Backdoor.Win32.Shiz.kq ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aCYOHjci, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\c0hz4nw.exe - Backdoor.Win32.Shiz.kr ( DrWEB: Trojan.PWS.Ibank.53 )
- c:\windows\system32\dzza779.exe - Backdoor.Win32.Shiz.ko ( DrWEB: Trojan.PWS.Ibank.53, AVAST4: Win32:Malware-gen )
- c:\windows\system32\d21wphv.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.53, NOD32: Win32/Spy.Shiz.NAL trojan )
- c:\windows\system32\fpspngm.exe - Backdoor.Win32.Shiz.ka ( DrWEB: Trojan.Packed.20540, NOD32: Win32/Spy.Shiz.NAL trojan )
- c:\windows\system32\gnvdgbq.exe - Backdoor.Win32.Shiz.kd ( DrWEB: Trojan.Siggen1.63801, NOD32: Win32/Spy.Shiz.NAL trojan )
- c:\windows\system32\hdti61t.exe - Backdoor.Win32.Shiz.kd ( DrWEB: Trojan.Siggen1.63801, NOD32: Win32/Spy.Shiz.NAL trojan )
- c:\windows\system32\hfetqth.exe - Backdoor.Win32.Shiz.ko ( DrWEB: Trojan.PWS.Ibank.53, AVAST4: Win32:Malware-gen )
- c:\windows\system32\lwkerwh.exe - Backdoor.Win32.Shiz.kq ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aCYOHjci, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\mogmv5k.exe - Backdoor.Win32.Shiz.ks ( DrWEB: Trojan.PWS.Ibank.53 )
- c:\windows\system32\nd1uvzv.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aO@Uezfi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\ocn9h3m.exe - Trojan.Win32.Jorik.Shiz.ap ( DrWEB: Trojan.PWS.Ibank.53, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\schewmh.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.53, NOD32: Win32/Spy.Shiz.NAL trojan )
- c:\windows\system32\sfcfiles.dll - Trojan-Spy.Win32.Agent.bhte ( AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\sinzkrm.exe - Backdoor.Win32.Shiz.kr ( DrWEB: Trojan.PWS.Ibank.53 )
- c:\windows\system32\vdr2ybx.exe - Trojan.Win32.Jorik.Shiz.ap ( DrWEB: Trojan.PWS.Ibank.53, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\vopjsvk.exe - Trojan.Win32.Jorik.Shiz.ap ( DrWEB: Trojan.PWS.Ibank.53, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\vpbdj8d.exe - Backdoor.Win32.Shiz.kq ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.gq0@aCYOHjci, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\v9fr8yz.exe - Backdoor.Win32.Shiz.ko ( DrWEB: Trojan.PWS.Ibank.53, AVAST4: Win32:Malware-gen )
- c:\windows\system32\whz5edk.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.53, NOD32: Win32/Spy.Shiz.NAL trojan )
- c:\windows\system32\xhez9ox.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aO@Uezfi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- c:\windows\system32\yozyk5e.exe - Backdoor.Win32.Shiz.kr ( DrWEB: Trojan.PWS.Ibank.53 )
- c:\windows\system32\yycccrg.exe - Backdoor.Win32.Shiz.ka ( DrWEB: Trojan.Packed.20540, NOD32: Win32/Spy.Shiz.NAL trojan )
- c:\windows\system32\z4asjnk.exe - Trojan.Win32.Jorik.Shiz.ap ( DrWEB: Trojan.PWS.Ibank.53, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\3v6pu1y.exe - Backdoor.Win32.Shiz.kr ( DrWEB: Trojan.PWS.Ibank.53 )
- c:\windows\system32\9fkftdr.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.53, NOD32: Win32/Spy.Shiz.NAL trojan )
- c:\windows\system32\97y1ohm.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Trojan.Heur.FU.hq0@aO@Uezfi, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
- \\?\globalroot\systemroot\system32\pbsvq13.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.PWS.Ibank.53, NOD32: Win32/Spy.Shiz.NAL trojan )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-