Junior Member
Вес репутации
50
Здраствуйте. Помогите пожалуйста вылечить вирус iexplore.exe system
Несколько дней назад лазил в интернете (браузер - Opera). Нажал на ссылку,компьютер пере загрузился. После этого стали слышны звуки, похожие на клики мышки и компьютер стал подвисать. В процессах я заметил iexplore.exe system, который во время очередного клика забирает 50 процентов мощности ЦП. При закрытии этого процесса, через минуту появляется вновь. Просканировал несколько раз Symotec, проблема не решилась. Помогите пожалуйста
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sic32.exe','');
QuarantineFile('C:\zKy_in.dll','');
QuarantineFile('C:\Program Files\SAM\module.dll','');
QuarantineFile('C:\iyP_uZbdGKWS.dll','');
QuarantineFile('C:\qKkDQlj22LPg.dll','');
QuarantineFile('C:\WINDOWS\system32\goooeug.dll','');
QuarantineFile('C:\thumbs.db','');
DeleteFile('C:\thumbs.db');
DeleteFile('C:\qKkDQlj22LPg.dll');
DeleteFile('C:\iyP_uZbdGKWS.dll');
DeleteFile('C:\Program Files\SAM\module.dll');
DeleteFile('C:\zKy_in.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sic32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Internet Security Manager');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DelBHO('03DD3DAE-E796-A1B7-B867-EC4C9103C685');
DelBHO('74081013-E2A8-8F53-DE2A-EA5F480657FD');
DelBHO('B2150688-1AA5-4698-90BE-C3CBECBB5786');
DelBHO('FA9B6BED-1924-0E88-0547-3ECD18A74DFE');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Сделайте лог МВАМ
Junior Member
Вес репутации
50
к сожалению проблема не решилась
1. Удалите в МВАМ всё, кроме
Код:
C:\WINDOWS\system32\sfcfiles.dll (Trojan.Patched) -> No action taken.
2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее... ):
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\system32\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.bak');
CopyFile('C:\WINDOWS\system32\dllcache\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин .
Сделайте новые логи + новый лог МВАМ
Junior Member
Вес репутации
50
Если это важно, то вирус не появляется, когда интернет отключен.
Сообщение от
Venus Doom
+ новый лог МВАМ
А это?
Junior Member
Вес репутации
50
ах, да...запутался в программах, сейчас сделаю.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 19 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\goooeug.dll - Trojan-Spy.Win32.Ardamax.hgo ( DrWEB: Trojan.Siggen.64508, BitDefender: Gen:Variant.Feedel.2, NOD32: Win32/Spy.Hookit.C trojan, AVAST4: Win32:Hookit-D [Spy] ) c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.930, BitDefender: Gen:Variant.Patched.1, NOD32: Win32/Patched.FR trojan, AVAST4: Win32:Small-NTF [Trj] )
Рекомендации:
Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !