-
Junior Member
- Вес репутации
- 50
Крашиться браузер и закрываються антивирусные утилиты
Доброго времени суток. У меня возникла проблемма ,после просмотра сайта нод выдал сообщение о вирусе, после чего опера стала крашиться. В папке оперы появился setupapi.dll, который я удалил. После рестарта системы опера стала также закрываться, нод перестал включаться. AVZ, HiJackThis, ComboFix, AVPTool так же закрываються. CureIT не нашло ничего вредного. Помогите пожалуйста, как можно избавиться от этой гадости!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте. ComboFix попробуйте запустить в безопасном режиме.
-
-
Junior Member
- Вес репутации
- 50
Разобрался,что в безопасном режиме с поддержкой командной строки утилиты запустяться. Прикладываю логи. При запуске combofix - pev.cfxxe Обнаружена ошибка приложение будет закрыто.
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\4e33c58d.exe','');
QuarantineFile('C:\WINDOWS\system32\8efd9b3b.exe','');
QuarantineFile('C:\WINDOWS\system32\bcjwryh.exe','');
QuarantineFile('C:\WINDOWS\system32\psvtip.exe','');
QuarantineFile('C:\WINDOWS\system32\sudrya.exe','');
DeleteFile('C:\Program Files\internet explorer\setupapi.dll');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\sudrya.exe');
DeleteFile('C:\WINDOWS\system32\psvtip.exe');
DeleteFile('C:\WINDOWS\system32\bcjwryh.exe');
DeleteFile('C:\WINDOWS\system32\8efd9b3b.exe');
DeleteFile('C:\WINDOWS\system32\4e33c58d.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(20);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи АВЗ + сделайте лог полного сканирования МВАМ
-
-
Junior Member
- Вес репутации
- 50
-
Удалите в МВАМ -
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\searchbho.seobho (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\searchbho.seobho.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{cf826515-af69-4282-88e9-cc31e3f393ee} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{cd31e9a7-ada8-4081-b7ec-6634b3c3518f} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6715b96f-a181-462f-af5e-1e528722a70a} (Trojan.BHO) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные папки:
C:\Documents and Settings\Рома\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> No action taken.
C:\Program Files\Spyware Process Detector (Rogue.SpywareProcessDetector) -> No action taken.
C:\Program Files\Spyware Process Detector\Base (Rogue.SpywareProcessDetector) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Рома\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\Рома\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Program Files\Mozilla Firefox\setupapi.dll (Trojan.Agent) -> No action taken.
C:\a.exe (Trojan.Agent) -> No action taken.
C:\b.exe (Trojan.Agent) -> No action taken.
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\bcjwryh.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Попробуйте запустить АВЗ в нормальном режиме
- C:\Program Files\Spyware Process Detector - эта программа знакома Вам?
- C:\Program Files\PartyGaming\PartyPoker - пользуетесь?
-
-
Junior Member
- Вес репутации
- 50
Выполнил вышеописанные действия. АВЗ в нормальном режиме запускаеться. Spyware Process Detector не устанавливал, PartyPoker не пользуюсь.
-
Тогда повторите логи АВЗ в нормальном режиме.
-
-
Junior Member
- Вес репутации
- 50
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFileMask('C:\Program Files\Spyware Process Detector','*.*',true);
DeleteDirectory('C:\Program Files\Spyware Process Detector');
DeleteFileMask('C:\Program Files\PartyGaming','*.*',true);
DeleteDirectory('C:\Program Files\PartyGaming\PartyPoker');
DeleteDirectory('C:\Program Files\PartyGaming');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Что сейчас с проблемой?
-
-
Junior Member
- Вес репутации
- 50
Вроде все хорошо, браузер работает, сайты открываються. Спасибо большой за помощь
-
Рекомендуется
- Установить все важные обновления.
- Установить IE 8 - даже если Вы им не пользуетесь.
-
-
Junior Member
- Вес репутации
- 50
Еще раз спасибо, воспользуюсь рекомендациями.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\bcjwryh.exe - Trojan.Win32.Jorik.Shiz.gr ( DrWEB: Trojan.PWS.Ibank.242, BitDefender: Trojan.Generic.KDV.63735, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\windows\\system32\\sudrya.exe - Backdoor.Win32.Shiz.atf ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.5210884, AVAST4: Win32:Malware-gen )
-