-
Junior Member
- Вес репутации
- 61
Непонятная блокировка Windows
Здравствуйте!
Пытался справится с вирусом самостоятельно:
В ходе интернет-серфинга вылезло сообщение о завершении работы системы через 30 сек. Полагая, что это обыкновенный "розовый баннер" я сразу перезагрузил компьютер в другую систему (чистую Win 7, которой редко пользуюсь) и "почистил" оттуда папку Documents and Settings/Temp/ ,а так же выполнил проверку Курьетом, который удалил зараженный файл sfcfiles.dll из папки system32. Так же подозрительная .dll была в папке IE, я ее оттуда перенес. В результате этих действих Win XP при загрузке в обычном режиме намертво висла показывая лишь обои рабочего стола (без самой панели задач и иконок). Затем из Win 7 с сайта dll.ru восстановил sfcfiles.dll после чего что в обычном, что в безопасном режиме опять стала появляться табличка о завершении работы (процесс system32/services.exe код 1073741819), в обычном режиме рабочий стол еще и полностью заблокирован. Ни каких баннеров и прочего при этом нет.
Так как что дальше делать не знаю, с нетерпением жду вашей помощи!
Логи по правилам пытался сделать из безопасного режима, но в ходе выполнения скрипта лечения и сбора информации в самом конце АВЗ подвис и создался только файлик virusinfo_cure, а скрипт сбора информации хоть и был завершен полностью, но отчета почему-то так же нет.
Заранее спасибо за помощь!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\e0d2ac3b.exe,C:\WINDOWS\system32\4b07afdf.exe,C:\WINDOWS\system32\mrulcm.exe,
ПЕрезагрузитесь. Запустите AVZ ещё раз
-
-
Junior Member
- Вес репутации
- 61
Добрый вечер!
Пофиксил, перезагрузился - не помогло... AVZ все равно не сохранял лог.
Сделал еще раз быструю проверку свежим сегодняшним Курьетом - удалил файлик system32/mrulcm.exe Trojan.PWS.Ibank.183 После этого удалось загрузиться в обычном режиме и сделать логи. Посмотрите пожалуйста:
И, не знаю важно это или нет, но в логах АВЗ возможно есть упоминание о каких-либо файликах, связанных с программами Solidworks и MPI (Plastic Insight) Это 100% не вирусы - пользуюсь ими давно, просто, понятное дело, они не лицензионные.
Последний раз редактировалось KsunReh; 04.10.2010 в 21:51.
-
Junior Member
- Вес репутации
- 61
Так же Курьет только что обнаружил: system32/sfcfiles - Trojan.WinSpy.937 - исцелен. Никакие программы, кроме браузера (захожу только на этот сайт и сайт др.Веб) естественно пока не запускались. Значит похоже не все еще добито...
-
пофиксите в hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\e0d2ac3b.exe,C:\WINDOWS\system32\4b07afdf.exe,C:\WINDOWS\system32\mrulcm.exe,
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\mrulcm.exe','');
QuarantineFile('C:\WINDOWS\system32\e0d2ac3b.exe','');
QuarantineFile('C:\WINDOWS\system32\4b07afdf.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Program Files\Mozilla Firefox\setupapi.dll','');
QuarantineFile('C:\Program Files\Opera\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Program Files\Mozilla Firefox\setupapi.dll');
DeleteFile('C:\Program Files\Opera\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\4b07afdf.exe');
DeleteFile('C:\WINDOWS\system32\e0d2ac3b.exe');
DeleteFile('C:\WINDOWS\system32\mrulcm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
+ новые логи AVZ
-
-
Junior Member
- Вес репутации
- 61
Добрый вечер!
Пофиксил, перезагрузился. Скрипт выполнил, перезагрузился.
Карантин прислал.
Новые логи и отчет RSIT прикрепляю:
P.S.: Сейчас в общем-то из наблюдаемых проблем осталась лишь одна - синий экран смерти при завершении работы винды. Началось это примерно сразу после начала лечения (мож какая нужная зараженная .dll антивирусом была удалена?) Информация на экране: STOP: 0x0000008E (0xC0000005, 0x8066AEB1, 0xB8723B2C, 0x00000000)
Последний раз редактировалось KsunReh; 05.10.2010 в 21:01.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
К сожалению сделать лог не могу... Закрыл все программы, выключил антивирус, файервол, запустил комбофикс - компьютер перезагрузился, программа написала про инфицирование sfcfiles.dll и что-то про точку восстановления и... зависла (мышь и клавиатуру не трогал).
После перезагрузки со второй попытки программа скачала некую панель от майкросовт и начала проверку, но не через 10 минут ни через час файл с логом не появился...
На третью попытку программа опять зависла еще до начала проверки, после создания точки восстановления...
Попробую еще раз, но может мне нужно проделать еще какие-нибудь подготовительные действия?
-
Попробуйте сделать лог в безопасном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
Добрый вечер!
Извиняюсь за задержку, компьютер доступен только по вечерам... В общем сделать лог в безопасном режиме тоже не получилось: во-первых программа сообщила о необходимости отключения работающего антивируса (НОД 32), хотя никаких признаков его работы в безопасном режиме я не наблюдал (даже в диспетчере задач нужного процесса вроде не было). Затем Комбофикс так же повисла - отчет не появился даже за 9 часов! (Мышь и клавиатуру не трогал)
Пришло в голову заменить sfcfiles.dll системы на нормальный с диска с Виндой. После этого проблема синего экрана вроде бы исчезла и смог сделать лог в обычном режиме...
Посмотрите пожалуйста! А исчезновение языковой панели и прочее - это нормальное следствие работы данной программы?
Новые логи делать надо? (сейчас вроде все нормально, за исключением изменений, сделанных Комбофикс)
-
Junior Member
- Вес репутации
- 61
Вот новые логи, если они вдруг нужны...
-
Junior Member
- Вес репутации
- 61
Посмотрите, пожалуйста, лог КомбоФикс... не зря же я его 2 дня пытался сделать.
-
Плохого не увидел.
Сообщение от
KsunReh
Посмотрите пожалуйста! А исчезновение языковой панели и прочее - это нормальное следствие работы данной программы?
Да.
Удалите ComboFix
Если языковая панель не появилась, пуск -> выполнить -> ctfmon.exe
-
-
Junior Member
- Вес репутации
- 61
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\mozilla firefox\\setupapi.dll - Trojan.Win32.Zapchast.cje ( DrWEB: Trojan.Siggen.64523, BitDefender: Gen:Variant.Buzy.1635, NOD32: Win32/Agent.OTM trojan, AVAST4: Win32:Patched-TI [Trj] )
-