-
Junior Member
- Вес репутации
- 54
setupapi.dll - проблемы с банковскими программами
На компьютере установлены программы связи с банком. Программа "iBank2 интернет и PC-банкинг" сообщила, что на компьютере, возможно, есть вирус, который ворует ключи. От их техподдержки пришло письмо, что, возможно, на компьютере содержится вирус в файлах setupapi.dll Они рекомендовали найти и удалить эти файлы везде, кроме c:\windows\system32\, что и было сделано (файл нашелся в папке program files\internet explorer)
Проверка антивирусом Nod32 нашла трояны. Также сообщения о троянах были при открытии папки windows\system32, т.е. нод начал ругаться как только эта папка открылась.
При загрузке windows каждый раз появляется сообщение "система восстановлена после серьезной ошибки. отпраить отчет? etc"/ Восстановление системы отключено, но сообщение продолжает появляться.
Прошу помощи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\wHPNVgF.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\b39578ff.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\WINDOWS\system32\b39578ff.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('\\?\globalroot\systemroot\system32\wHPNVgF.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Забыл упомянуть: не отключается подключение по локальной сети (при нажатии "отключить"), т.е. приходится для отключения от интернета выдергивать шенур. Пишет "Это подключение сейчас используется в другой операции отключения или подключения."
NOD32 невозможно выгрузить из памяти. Я из него выхожу, но остается nod32krn.exe в диспетчере задач, и при попытке его выгрузить, он появляется в списке задач снова. Может, просто удалить вообще весь антивирус пока что?
Попытка запуска combofix - во-первых, жаловался на Нод (см.выше), потом в окне появилось сообщение "System file is infected!! Attempting to restore C:\Windows\system32\sfcfiles.dll" В этом состоянии программа, похоже, зависла (в течение 10 минут не было активности жесткого диска). При этом сочетание ctrl+alt+del не работает - это так и должно быть? Из программы невозможно выйти, пришлось перезагружаться.
-
Пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил, если будет не пуст.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Окно "Система восстановлена после серьезной ошибки" больше не появляется. Карантин пуст.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
Большое спасибо за помощь.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
-