-
Junior Member
- Вес репутации
- 50
Вирус. Не работают утилиты, вылетает браузер.
Добрый день. Сегодня утром подцепил вирус. Опера была свернута. запущен ТВ тюнер и Тотал Командер. Ни с того не с сего пропали ярлыки со стола и панель задач на пол минуты, тюнер "затроил". Ощущение что перезапустить процесс explorer.exe. Когда все стало на места глянул в ESET Smart Securiti. Все чисто, атак не обнаружено. После перезагрузки компьютера Eset не запускается. Запускаю AVZ запускается, и тут же вылетает. Думаю надо скачать свежую версию, у меня ver 4.32. Вот тут начинается самое интересное. AVZ в строке поиска, Enter. три сикунды, опера вылетела. Еще раз пробую, теже яйца, только в профиль. С IE тоже самое. С левых сайтов по ссылке на прямую перешел к загрузке AVZ. Распокавал, не после запуска сразу же вылетает. Подобным образом скачал HiJackThis. не работает. По ссылке на вашем сайте к переименованному файлу HiJackThis опера опять вылетает. На форум вашего сайта тоже пришлось идти окольными путями через поисковик, ибо при попытки загрузить главную страницу браузеры вылетают. Так как не работают утилиты прикрепляю журнал SysInspector от Eset
P.S. На другие запросы в поисковик не касающиеся вирусов браузер ведет себя вполне адекватно, как ему и положено.
Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 50
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\ptmodxn.exe
Driver::
NetSvc::
Folder::
c:\program files\Common Files\57F2AAF0a
c:\program files\Common Files\57F2A908a
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 50
Зделал.
После выполнения комп перезагрузился, ESET в трее появился.
Лог прикрепляю.
З.Ы. Еще была проблема с тем что опера при запуске писала об отсутствующем диске. Когда сохранял ваш скрипт, блокнот ругнулся что диск Е: отсутствует. Ну это так, может важно? Сейчас AVZ стала запускаться. Что это было? Есть жесткая необходимость менять пароли от учетных записей?
-
Пароли менять абсолютно точно надо, причём все используемые!
Если АВЗ запускается - сделайте им логи.
-
-
Junior Member
- Вес репутации
- 50
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\lvhidsvc.exe','');
BC_ImportAll;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 50
Отправил.
Спасибо за помощь.
-
-
-
Junior Member
- Вес репутации
- 50
Проблема ушла после выполнения скрипта CFScript
Что это была за бяка? И какая цель ее проникновения?
-
Это Backdoor.Win32.Shiz, целью его является, скорее всего, кража паролей. Поэтому мы настоятельно рекомендуем сменить все используемые Вами пароли.
-
-
Junior Member
- Вес репутации
- 50
Еще раз огромное вам спасибо за оперативную помощь. Смена паролей уже в процессе.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-