Здраствуйте. Помогите пожалуйста вылечить вирус iexplore.exe system

[CAH40]

Несколько дней назад лазил в интернете (браузер - Opera). Нажал на ссылку,компьютер пере загрузился. После этого стали слышны звуки, похожие на клики мышки и компьютер стал подвисать. В процессах я заметил iexplore.exe system, который во время очередного клика забирает 50 процентов мощности ЦП. При закрытии этого процесса, через минуту появляется вновь. Просканировал несколько раз Symotec, проблема не решилась. Помогите пожалуйста

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

R3 - URLSearchHook: (no name) -  - (no file)

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sic32.exe','');
 QuarantineFile('C:\zKy_in.dll','');
 QuarantineFile('C:\Program Files\SAM\module.dll','');
 QuarantineFile('C:\iyP_uZbdGKWS.dll','');
 QuarantineFile('C:\qKkDQlj22LPg.dll','');
 QuarantineFile('C:\WINDOWS\system32\goooeug.dll','');
 QuarantineFile('C:\thumbs.db','');
 DeleteFile('C:\thumbs.db');
 DeleteFile('C:\qKkDQlj22LPg.dll');
 DeleteFile('C:\iyP_uZbdGKWS.dll');
 DeleteFile('C:\Program Files\SAM\module.dll');
 DeleteFile('C:\zKy_in.dll');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sic32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Internet Security Manager');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');  
 DelBHO('03DD3DAE-E796-A1B7-B867-EC4C9103C685');
 DelBHO('74081013-E2A8-8F53-DE2A-EA5F480657FD');
 DelBHO('B2150688-1AA5-4698-90BE-C3CBECBB5786');
 DelBHO('FA9B6BED-1924-0E88-0547-3ECD18A74DFE');  
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.


- Сделайте лог МВАМ

[CAH40]

к сожалению проблема не решилась

[Никита Соловьев]

1. Удалите в МВАМ всё, кроме

Код:

C:\WINDOWS\system32\sfcfiles.dll (Trojan.Patched) -> No action taken.

2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
 RenameFile('C:\WINDOWS\system32\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\system32\dllcache\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.dll');
 DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

Сделайте новые логи + новый лог МВАМ

[CAH40]

Если это важно, то вирус не появляется, когда интернет отключен.

[olejah]

+ новый лог МВАМ

А это?

[Никита Соловьев]

+ Сделайте лог GMER

[CAH40]

ах, да...запутался в программах, сейчас сделаю.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 19
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\goooeug.dll - Trojan-Spy.Win32.Ardamax.hgo ( DrWEB: Trojan.Siggen.64508, BitDefender: Gen:Variant.Feedel.2, NOD32: Win32/Spy.Hookit.C trojan, AVAST4: Win32:Hookit-D [Spy] )
  2. c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.930, BitDefender: Gen:Variant.Patched.1, NOD32: Win32/Patched.FR trojan, AVAST4: Win32:Small-NTF [Trj] )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !