-
Junior Member
- Вес репутации
- 51
Не работают браузеры.
Не работают браузеры. При запуске приложений выводит сообщения отказ в праве доступа,или запускаются со второго раза. В папке Opera появились новые файлы 0.26974925692427576.exe, setupapi.dll.
При перезагрузке или выключении в синем окне пишет ошибки и начинает скидывать дамп памяти на диск.
Последний раз редактировалось nord34; 08.08.2010 в 01:50.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Логи сделаны старой версией AVZ. Загрузите актуальную и переделайте
-
-
Junior Member
- Вес репутации
- 51
-
-
-
Junior Member
- Вес репутации
- 51
-
Загрузитесь в безопасном режиме
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\WINDOWS\system32\xwhqfg.exe','');
QuarantineFile('C:\WINDOWS\system32\e9cec12e.exe','');
QuarantineFile('C:\Documents and Settings\Igor\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\krhok.sys','');
DeleteService('abp470n5');
QuarantineFile('C:\DOCUME~1\Igor\LOCALS~1\Temp\ALSysIO.sys','');
DeleteService('ALSysIO');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\DOCUME~1\Igor\LOCALS~1\Temp\ALSysIO.sys');
DeleteFileMask('C:\DOCUME~1\Igor\LOCALS~1\Temp','*.*',true);
DeleteFile('C:\WINDOWS\system32\drivers\krhok.sys');
DeleteFile('C:\Documents and Settings\Igor\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS\system32\e9cec12e.exe');
DeleteFile('C:\WINDOWS\system32\xwhqfg.exe');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
RenameFile('C:\WINDOWS\system32\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.bak');
CopyFile('C:\WINDOWS\system32\dllcache\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Сделайте новые логи AVZ
Последний раз редактировалось Никита Соловьев; 08.08.2010 в 02:00.
Причина: up
-
-
Junior Member
- Вес репутации
- 51
Воити в безопасный режим не получается, может потому что установлен загрузчик на две О.С.
Запустил WEB CURE, нашел зараженные в system32 - syspanel32.exe sfcfiles.bak, в папках с браузерами setupapi.dll , в документах подозрительный svchost.exe, все удалил. После перезагрузки они больше не появились.
Последний раз редактировалось nord34; 08.08.2010 в 21:36.
-
Junior Member
- Вес репутации
- 51
Сейчас вроде все работает нормально.
-
Ещё не всё
Загрузите ПК в безопасном режиме
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sfcfiles.bak','');
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\WINDOWS\system32\fcfc5012.exe','');
QuarantineFile('C:\Documents and Settings\Igor\Application Data\Microsoft\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Igor\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\Igor\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\Documents and Settings\Igor\Application Data\Microsoft\svchost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe');
DeleteFile('C:\WINDOWS\system32\fcfc5012.exe');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Panel');
DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 51
войти в безопасный не получается, грузит безопасный и сбрасывается.
Последний раз редактировалось nord34; 08.08.2010 в 18:56.
-
Выполните проверку Kaspersky Live CD
-
-
Junior Member
- Вес репутации
- 51
Выполнил скрипт в безопасном режиме. Может как то обойти Kaspercky Live CD, с мобильным интернетом долго его собирать придется. Есть старый жесткий диск с таким же рабочим Windows.
-
Сообщение от
nord34
Выполнил скрипт в безопасном режиме.
Получилось? Тогда live CD не нужен
В логах плохого не увидел. Что с проблемой?
-
-
Junior Member
- Вес репутации
- 51
Да проблем не вижу, а что это было, скрипт какой -то Opera в инете поймала ?
Большое спасибо за помощь !!!
Последний раз редактировалось nord34; 08.08.2010 в 21:34.
-
Троянская программа, популярна сейчас
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sfcfiles.bak - Trojan-Spy.Win32.Agent.biki ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@a4AKiKf )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-