Перестали открываться IE, Outlook Express, диспетчер задач

Printable View

13.03.2009, 12:04
allaq

Вложений: 3

Перестали открываться IE, Outlook Express, диспетчер задач

Drweb обнаружил вирус и вроде как вылечил. Log Spider:
[SIZE=3][FONT=Times New Roman]12-03-2009 14:51:03 [CL] (PID = 3480) C:\WINDOWS\system32\utsync.dll - инфицирован Trojan.PWS.GoldSpy.origin[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]12-03-2009 14:51:23 [CL] (PID = 1512) C:\WINDOWS\system32\mmcta.sys - инфицирован Trojan.Clb.24[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]12-03-2009 14:51:23 [CL] (PID = 1512) C:\WINDOWS\system32\ctasys.dll - инфицирован Trojan.Clb.origin[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]12-03-2009 14:51:23 [CL] (PID = 1512) C:\WINDOWS\system32\mmcta.sys - исцелен[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]12-03-2009 14:51:23 [CL] (PID = 1512) C:\WINDOWS\system32\mmcta.sys - инфицирован Trojan.Clb.24[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]12-03-2009 14:51:23 [CL] (PID = 1512) C:\WINDOWS\system32\mmcta.sys - исцелен[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]12-03-2009 14:51:24 [CL] (PID = 3480) C:\WINDOWS\system32\utsync.dll - удален[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]12-03-2009 14:51:34 [CL] (PID = 1512) C:\WINDOWS\system32\ctasys.dll - удален[/FONT][/SIZE]

После этого перестали открываться IE, Outlook Express, диспетчер задач, отключился брандмауэр Windows (снова включить невозможно).

Высылаем логи, но IE не открывается, а программа Hijaskthis (даже скачанная под именем 1.bat) запускается только сразу после перезагрузки!, иногда один раз дает выполнить scan, а затем пишет

Hijackthis
This action cannot be completed because the other application is busy. Choose "Switch To" to activate the buse application and correct problem.

После закрытия снова запустить Hijackthis уже невозможно
13.03.2009, 12:34
PavelA

Выполнить:
[CODE]begin
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
end.
[/CODE]

Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=41589[/url]
13.03.2009, 13:28
allaq

Выполнили скрипт. Карантин пустой. По-прежнему не открывается IE, Outlook, диспетчер задач и т.д.
13.03.2009, 14:56
AndreyKa

Установите AVZPM через меню AVZ.
Перезагрузите компьютер.
Выполните 2-й стандартный скрипт. Файл с результатами (virusinfo_syscheck.zip) приложите к теме.
13.03.2009, 15:41
allaq

Вложений: 1

Установили AVZPM. Log прилагаем.
IE и др. программы открываются только один раз, если запустить сразу после перезагрузки, в безопасном режиме все работает нормально
13.03.2009, 16:00
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...
13.03.2009, 16:50
allaq

После выполнения последнего скрипта все заработало.
Спасибо.
13.03.2009, 16:51
Гриша

Я кажется еще кое-что просил :)
13.03.2009, 17:23
allaq

Вложений: 2

Высылаем логи. Переименованный в bak файл sfcfiles.dll имеет ту же длину (1,5 mb) и от той же даты, что и оригинал, но отличается от него по содержимому
13.03.2009, 20:25
Гриша

В логах чисто, установите SP3+all updates...
16.03.2009, 11:59
allaq

Спасибо, проблема решена. После выполнения последнего скрипта все заработало. Файл sfcfiles.dll был подменен вирусом.