-
Junior Member
- Вес репутации
- 51
winlogon.exe грузит систему постоянно
Добрый день.
В браузере опера при посещении обычного сайта вылезла ошибка что-то про setupapi.dll, после этого перезагрузил комп, winlogon.exe стал грузить процессор на 50% постоянно, проверил КИС 8.0 с последними базами, он ничего не нашел. Авз нашел подозрительный файл, логи прикреплены.
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 51
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Common Files\System\Extend.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\mcdevice.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Macromedia\SwUpdate\swupdate.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
RenameFile('C:\WINDOWS\system32\sfcfiles.dll', 'C:\WINDOWS\system32\sfcfiles.bak');
CopyFile('C:\WINDOWS\system32\dllcache\sfcfiles.dll', 'C:\WINDOWS\system32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW',2 ,2 ,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 51
Выполнил скрипт, сделал новые логи. Хотел отправить карантин, но папка Quarantine почему-то пустая
-
Сообщение от
elstan
папка Quarantine почему-то пустая
Жаль, ну да ладно.
Сделайте новый лог МВАМ
-
-
Junior Member
- Вес репутации
- 51
-
Удалите в МВАМ:
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{003541a1-3bc0-1b1c-aaf3-040114001c01} (Trojan.Swisyn) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{1b1d0286-1a03-4e7d-a5e1-022054cda9e3} (Adware.EcoBar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{375c22ae-f0b0-47c3-ba60-baff0806434a} (Adware.EcoBar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{dcbb729a-dc7b-4c5b-82ce-158bb801e96c} (Adware.EcoBar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b4806c1a-fe8a-4008-9da3-8cedb6e82c10} (Adware.EcoBar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{b4806c1a-fe8a-4008-9da3-8cedb6e82c10} (Adware.EcoBar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b4806c1a-fe8a-4008-9da3-8cedb6e82c10} (Adware.EcoBar) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\swupdate (Trojan.Swisyn) -> No action taken.
Зараженные папки:
(Вредоносных программ не обнаружено)
Зараженные файлы:
C:\Documents and Settings\All Users\Application Data\Macromedia\SwUpdate\swupdate.dll (Trojan.Swisyn) -> No action taken.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 51
Winlogon перестал грузить систему, спасибо большое! =)
Добавлено через 2 часа 18 минут
После выше проведенных операций опера перестала работать, я переустановил её, отключил первым делом Cookies и JavaScript, зашел на пару обычных сайтов (проверенных), затем закрыл оперу, через некорое время открываю оперу опять ошибка про setupapi.dll и опять начинает winlogon.exe грузить систему.
Выполнил первый скрипт АВЗ, проблему уже не решило, но теперь есть в карантине файлы:
Файл сохранён как100805_011450_virus_4c59d84aeeef1.zipРазмер файла1403854MD52615693baaaa995aaa6a88a7aa2a9ab2
Последний раз редактировалось elstan; 05.08.2010 в 01:16.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 51
-
Карантин пришлите.
Запустите оперу, IE и подготовьте три лога
-
-
Junior Member
- Вес репутации
- 51
Карантин отправлен: Файл сохранён как 100805_011450_virus_4c59d84aeeef1.zip Размер файла 1403854MD52615693baaaa995aaa6a88a7aa2a9ab2 .
Насчет логов - нужно их сделать с включенным IE и Оперой?
-
Сообщение от
elstan
Насчет логов - нужно их сделать с включенным IE и Оперой?
Сообщение от
Venus Doom
Запустите оперу, IE и подготовьте три лога
Да)
-
-
Junior Member
- Вес репутации
- 51
Сделал логи с открытым IE и Оперой
-
Junior Member
- Вес репутации
- 51
-
Junior Member
- Вес репутации
- 51
Прочитал на форуме сайта, где подхватил этот вирус, что вирус действительно был в каком-то баннере и, что вирус что-то сделал с sfcfiles.dll и sfc.sys, но пути решения проблемы там нету
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\Common Files\System\Extend.dll','');
QuarantineFile('C:\Program Files\Opera\SETUPAPI.dll','');
DeleteFile('C:\Program Files\Opera\SETUPAPI.dll');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll ','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
Я извинюясь, пока ждал ответа, обновил Dr.Web Cure it, проверил систему в безопасном режиме, он вылечил mssfc.dll , а sfcfiles.dll переместил, в виду невозможности лечения. (есть лог)
Сейчас сделал Ваш скрипт, отослал карантин (Файл сохранён как 100805_150346_quarantine_4c5a9a92f2f16.zip
Размер файла 107986
MD5 5b1d0751242a50922350f614b977f148 )
, сделал логи.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Program Files\Common Files\System\Extend.dll');
if CheckFile('%System32%\dllcache\sfcfiles.dll')=3 then
CopyFile('%System32%\dllcache\sfcfiles.dll', '%System32%\sfcfiles.dll');
QuarantineFile('%System32%\sfcfiles.dll','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
Карантин:
Файл сохранён как
100805_152647_quarantine_4c5a9ff79d136.zip
Размер файла 421504
MD5 ac4e658331a4c41630ba66d8cc6db6d5
Сделал логи