Доброго времени суток. Утилита CureIt обнаружила процесс в памяти Trojan.PWS.Panda.114 и вроде как вылечила, но после перезагрузки он снова появл-ся. Помогите пожалуйста. Ниже логи.
Printable View
Доброго времени суток. Утилита CureIt обнаружила процесс в памяти Trojan.PWS.Panda.114 и вроде как вылечила, но после перезагрузки он снова появл-ся. Помогите пожалуйста. Ниже логи.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
[/CODE]
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('\Device\HarddiskVolume1\Temp\RarSFX0\2sk95.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
/done
Все впорядке? Я волнуюсь 8)
[code]c:\windows\system32\hufhehu.dll[/code] - пришлите по правилам (приложение 2 и 3).
avz не находит такого файла, его нет в списке при просмотре карантина
но очевидно вирус не вылечен, сейчас проверю CureIt'ом
[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]
Таки да, снова тот же процесс в памяти :sorry:
Помогите люди добрые :>
[QUOTE='NeytroN;455165']Таки да, снова тот же процесс в памяти[/QUOTE]Какой процесс в памяти?
CureIt выдает Trojan.PWS.Panda.114 и якобы излечивает его, но после перезагрузки все снова. Вообщем, повторяется все с начала.
В последних логах его нет.
Сделайте новые логи + отчет утилиты GSI
Сделал всё как просили.
[URL]http://www.getsysteminfo.com/read.php?file=71096fb62d02a31d32bf3f09ce6e3e2a[/URL]
зы: кроме того AVZ сделал архив карантина, залью, если понадобится
Пофиксить в HiJack
[CODE]R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,[/CODE]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\hufhehu.dll','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделал.
Файл [B]c:\windows\system32\hufhehu.dll[/B] на диске присутствует?
Если да, запакуйте его с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Да, есть такой файл. Хотя до этого его не было.
Сделал как вы просили. Файл 090825_094627_hufhehu_4a937ab3a7fc1.zip
[QUOTE=NeytroN;455404]hufhehu.zip[/QUOTE] вердикт - чистый :)
Проведем эксперимент:
- Скачайте [url]http://virus-protect.org/zip/WinsockxpFix.zip[/url]
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hufhehu.dll
[/CODE]
Перегрузитесь.
Если пропадет сеть - запустите скачанную тулзу.
Если опять таки не поможет - восстановите записи из бекапа Hijackthis.
Потом повторите логи по пп. 2 и 3 Диагностики.
HJT не хочет это фиксить, выдавая такую ошибку:
[ATTACH]156642[/ATTACH]
[QUOTE=NeytroN;455996]HJT не хочет это фиксить, выдавая такую ошибку:
[/QUOTE]Ну так он там же и пишет, что делать. Вы же уже эту тулзу скачали, по меньшей мере- должны были скачать. Или как? :O
Пофиксил с помощью LspFix.
Вот логи.
Ничего подозрительного. Что с проблемой?
Вроде все ок. Прошелся CureIt - вроде чисто.
Проблему я обнаруживал, когда запускал игру (Lineage2), выкидывало с ошибкой l2.bin файла. Думается, это вирус чет портил.
А что было то собственно? Проблема была в hufhehu.dll?
Спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.aahr[/B] ( DrWEB: Trojan.PWS.Panda.114, BitDefender: Application.Generic.202372, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.aahz[/B] ( BitDefender: Trojan.Generic.2322746, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]