Printable View
Вымогатель "ПО File Downloader".
Просмотрев темы по этому вирусу в разделе "Помогите!", попробовал запустить утилиту из архива get2.zip, скопировал файл swenum.sys, как предложили специалисты.
Баннер исчез, но тормозит комп, интернет появился, но очень сильно тормозит. В процессах один из svchost постоянно жрет CPU 90-100 %.
Помогите, пожалуйста.
PS После выполнения скриптов на AVZ с тормозами стало как-то полегче, но в целом все то же (svchost жрет проц).
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\MaN\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteFile('C:\Documents and Settings\MaN\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
Выполнил скрипт, svchost перестал грузить систему, спасибо.
Gmer нашел какие-то руткиты, все логи прикреплены.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\rmbqk.dll','');
DeleteFile('C:\WINDOWS\system32\rmbqk.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\jbuvf');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet001\Services\jbuvf');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\jbuvf');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\jbuvf');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\jbuvf\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet001\Services\jbuvf\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\jbuvf\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\jbuvf\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\jbuvf');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Services\jbuvf');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\jbuvf');
RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Services\jbuvf');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\onughw');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet001\Services\onughw');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\onughw');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\onughw');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\onughw\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet001\Services\onughw\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\onughw\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet004\Services\onughw\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\onughw');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Services\onughw');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\onughw');
RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Services\onughw');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\F-Secure Gatekeeper','EventMessageFile');
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Сделайте новый [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
Скрипт выполнил, вроде теперь все ок.
Вот лог:
В логе чисто. Проблема решена?
Да, все отлично, большое спасибо.
Не подскажите, в чем причина заражения, как его избежать? У меня постоянно обновляется NOD32 4, использую Firefox (может он виноват?). Или проблема в дыре в ОС (Windows XP SP2)?
[QUOTE='Yaugen;535046']Windows XP SP2[/QUOTE]
Да, ставьте SP3 и последующие обновления.
Хотя и это не панацея.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\man\главное меню\программы\автозагрузка\siszyd32.exe - [B]Backdoor.Win32.Bredolab.blg[/B] ( DrWEB: Trojan.Botnetlog.108, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan )[/LIST][/LIST]