-
Junior Member
- Вес репутации
- 49
IE8 стал медленно загружаться, при заходе в "избранное" скачком грузит проц до 100%.
На домашнем компьютере IE8 стал медленно загружаться, при заходе в "избранное" скачком грузит проц до 100%. Домашние говорят, что до этого заходили в Однокл-ки. Сканирование CureIt показало только наличие в hosts:
184.82.80.46 vkontakte.ru
184.82.80.46 VK.ru
184.82.80.46 odnoklassniki.ru
184.82.80.46 odnoklasniki.ru
Cканирование NOD32 показало кучку дряни, в том числе:
taimgxi.exe(Win32/Kryptik.ID,
winxrar.exe, winxrarview.exe (Win32/Packed.ORiEN.A)(возможно не имеют отношения к данному случаю),
пару jar_cache 35........... .tmp (множественные угрозы),
В перерыве домашние опять зашли в Однокл-ки и тутже (случайное совпадение?) схлопотали от NOD32: sfcfiles.dll (Win32/Hodprot.AA) "очистка невозможна". Вся система стала тормозить. После перезагрузки простое сканирование AVZой показало наличие в IE вредоносной *.dll . Прошу Вашей помощи в борьбе с этой дрянью. Требуемые логи прилагаются.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\internet explorer\setupapi.dll','');
DeleteFile('C:\Program Files\internet explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Файл C:\WINDOWS\system32\sfcfiles.dll замените чистым с дистрибутива
- Установлены ли на компьютере следующие браузеры - Опера, firefox ?
- Сделайте лог полного сканирования МВАМ
-
-
Junior Member
- Вес репутации
- 49
Прошу прощенья за задержку. Указанное пофиксил, скрипты выполнил, quarantine.zip отослал. Дистрибутива, к сожалению, нет. Используются браузеры: IE8, Opera(редко), Chrome. Лог полного сканирования МВАМ прилагаю.
-
Junior Member
- Вес репутации
- 49
Прошу прощенья за задержку. Указанное пофиксил, скрипты выполнил, quarantine.zip отослал. Дистрибутива, к сожалению, нет. Используются браузеры: IE8, Opera(редко), Chrome. Лог полного сканирования МВАМ прилагаю.
-
Возьмите файл у меня во вложении, распакуйте и замените им файл C:\WINDOWS\system32\sfcfiles.dll
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Program Files\Opera\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
- Компьютер перезагрузится
Последний раз редактировалось olejah; 25.12.2010 в 10:02.
-
-
+
Удалите в МВАМ -
Код:
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.
- Повторите лог МВАМ
-
-
Junior Member
- Вес репутации
- 49
Делаю. Пардон, quarantine.zip не запаролил, переслать?
-
Не надо, АВЗ автоматом создаёт пароль.
-
-
Junior Member
- Вес репутации
- 49
Параметр в МВАМ удалил, лог выслан.
-
-
-
Junior Member
- Вес репутации
- 49
Проблема исчезла. Если можно, скажите, виноваты ли Однокл-ки, как эта бяка пролезла, в чем ее гнилая суть, возможные последствия?
-
Понятия не имею кто виноват. Пролезть эта штука могла целой тонной способов. Последствия будут, если не будете соблюдать меры предосторожности. А пока - всё нормально.
-
-
Junior Member
- Вес репутации
- 49
ОК. Огромное человечное спасибо, Вы настоящий профессионал.
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.ctd ( DrWEB: Trojan.WinSpy.956, BitDefender: Gen:Variant.Buzy.1635, AVAST4: Win32:Parchood-C [Trj] )
-