Помогите решить проблему с вирусом. Dr.Web обнаруживает Trojan.PWS.Panda.114 в Процесс в памяти: System:4 . Как можно от него избавиться.
Printable View
Помогите решить проблему с вирусом. Dr.Web обнаруживает Trojan.PWS.Panda.114 в Процесс в памяти: System:4 . Как можно от него избавиться.
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('c:\windows\system32\wnex7do.exe','');
TerminateProcessByName('c:\windows\system32\wnex7do.exe');
DeleteFile('c:\windows\system32\wnex7do.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=52149[/URL]
3. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[QUOTE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,[/QUOTE]4. Повторите логи.
Скрипт выполнил, выслал карантин. Пофиксить в HijackThis строку F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\sdra64.exe, не смог, так как не нашел.
[QUOTE=Aleksandra;449268]4. Повторите логи.[/QUOTE] :>
Логи в процессе...
Повторяю логи. Dr.Web больше вируса не обнаруживает.
Прочитайте и сделайте: [url]http://virusinfo.info/showthread.php?t=7660[/url]
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('catchme');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\catchme.sys','');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\catchme.sys');
DeleteService('catchme');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('catchme');
ExecuteRepair(13);
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
[B]Подгтовьтесь и по возможности начинайте выполнять:[/B]
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
- Прочитайте и по максимуму выполните: [url]http://virusinfo.info/showthread.php?t=30339[/url]
Логи высылаю, а вот карантин никак не хочет высылаться... Если можно, дайте ссылку на карантин. Какие будут дальнейшие указания? Да и еще после выполнения скрипта в системе после перезагрузки появилось неизвестное устройство. Что с ним делать?
[QUOTE=Rene-gad;449709]Прочитайте и сделайте: [url]http://virusinfo.info/showthread.php?t=7660[/url][/QUOTE]
Почему нужно по 2 раза напоминать???
[QUOTE=eagle;449832]карантин никак не хочет высылаться... [/QUOTE]У нас в связи реконструкцией движка форума закачка временно не работает.
Отправьте карантин по почте на [email][email protected][/email], ответ сообщите.
[QUOTE=eagle;449832]Какие будут дальнейшие указания? [/QUOTE]
Вы не все выполнили (см. выше). После очистки файла hosts перегрузитесь и сделайте лог по п.2 правил.
[QUOTE=eagle;449832]системе после перезагрузки появилось неизвестное устройство. Что с ним делать?[/QUOTE]Удалите его.
[U]Начинайте отрабатывать программу [I][COLOR="Red"]Как не попасть в раздел Помогите[/COLOR][/I]
[/U]
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
- Прочитайте и по максимуму выполните: [url]http://virusinfo.info/showthread.php?t=30339[/url]
Выслал карантин на [email][email protected][/email] и получил ответ В присланном Вами файле не найдено ничего вредоносного.
Нужен файл catchme.sys, но файл catchme.sys я у себя не нашел. Файл hosts очистил, логи прилагаются.
В логе ничего подозрительного.
Проблема решена?
Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]
Спасибо всем кто помогал. Проблема решена.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.zzf[/B] ( AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]