Вирус блокирует все известные браузеры

Printable View

01.10.2009, 07:53
vbb

Вирус блокирует все известные браузеры

операционка Windows XP

Все началось с того, что перестал запускаться AVG... потом я выяснил, что это из-за того, что вирус изменил настройки доступа в рабочие папки AVG (после полного удаления всех файлов/сервисов/ключей реестра, относящихся к AVG и повторной его установки, ситуация повторяется)

Через несколько дней появилось следующее. При попытке открыть браузер запускается рекламный сплэш с предложением активировать браузеры посредством смс...

При подключении flash-накопителя, через несколько секунд, Windows меняет тему оформления на классическую и не реагирует на завершение работы, не вызывается диспетчер задач...

avz говорит, что на процессы браузеров повешен отладчик (dll лежит в system32, после перезагрузки - случайное имя)

вчера используя редактор политик, разблокировал реестр, снял отладчик - браузер заработал... сегодня эта тема не проходит (редактор автоматом сворачивается)...

Dr.Web CureIt обнаружил
[B]Win32.HLLW.Kati[/B]
system32\ahtomsys19.exe [удален]
system32\psagor18.sys [удален]
system32\ctfmon.exe [удален]
system32\DETER177\lsass.exe [удален]
system32\DETER177\smss.exe [удален]
system32\DETER177\svchost.exe [удален]

После удаления Win32.HLLW.Kati стал нормально открываться редактор реестра...
01.10.2009, 07:59
Гриша

Выполните скрипт:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
DeleteService('ujznroy');
QuarantineFile('C:\WINDOWS\system32\pdAyCb.dll ',' ');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\system32\pdAyCb.dll ');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('ujznroy');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(13);
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам, обновите базы AVZ и повторите логи...
01.10.2009, 08:57
vbb

выполнил скрипт... правда комп сам не перезагрузился AVZ выдал, что скрипт успешно выполнен.... карантин отправил

[size="1"][color="#666686"][B][I]Добавлено через 43 минуты[/I][/B][/color][/size]

не могу вложить отчеты - форум пишет, что я уже прикрепил эти файлы ранее...
01.10.2009, 08:58
Гриша

Удалите старые логи через "Мой кабинет"=>"Вложения"
01.10.2009, 09:01
vbb

вот отчеты
01.10.2009, 09:05
Гриша

Это точно новые логи?
01.10.2009, 09:08
vbb

возможно нет.... сейчас сделаю еще раз
01.10.2009, 09:22
vbb

это свежие отчеты
01.10.2009, 09:40
Гриша

Выполните проверку свежим CureIT и повторите логи...
01.10.2009, 12:53
vbb

Вложений: 3

вот логи после лечения
01.10.2009, 16:00
light59

Что с проблемами?
02.10.2009, 03:47
vbb

проблем нет... последний CureIt нашел и удалил несколько копий Trojan.Kor (в том числе в карантине AVZ)... отладчики с браузеров снялись, антивирус AVG установился и нормально функционирует.... появился доступ к свойствам папок...

единственный минус - вручную пришлось разблокировать средства редактирования реестра и реакцию на Ctrl-Alt-Del через политики
03.10.2009, 03:47
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\pdaycb.dll - [B]Trojan.Win32.Delf.pba[/B] ( DrWEB: Trojan.Kor )[*] c:\windows\system32\twex.exe - [B]Trojan-Spy.Win32.Zbot.abgv[/B] ( DrWEB: Trojan.PWS.Panda.117, BitDefender: Backdoor.Bot.105877 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]