Не работают браузеры.

Printable View

07.08.2010, 23:54
nord34

Не работают браузеры.

Не работают браузеры. При запуске приложений выводит сообщения отказ в праве доступа,или запускаются со второго раза. В папке Opera появились новые файлы 0.26974925692427576.exe, setupapi.dll.
При перезагрузке или выключении в синем окне пишет ошибки и начинает скидывать дамп памяти на диск.
08.08.2010, 00:00
Никита Соловьев

Логи сделаны старой версией AVZ. Загрузите актуальную и переделайте
08.08.2010, 00:38
nord34

поправил
08.08.2010, 00:40
Никита Соловьев

А обновить базы?
08.08.2010, 01:30
nord34

обновил
08.08.2010, 01:59
Никита Соловьев

Загрузитесь в безопасном режиме

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\WINDOWS\system32\xwhqfg.exe','');
QuarantineFile('C:\WINDOWS\system32\e9cec12e.exe','');
QuarantineFile('C:\Documents and Settings\Igor\Главное меню\Программы\Автозагрузка\monoca32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\krhok.sys','');
DeleteService('abp470n5');
QuarantineFile('C:\DOCUME~1\Igor\LOCALS~1\Temp\ALSysIO.sys','');
DeleteService('ALSysIO');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\DOCUME~1\Igor\LOCALS~1\Temp\ALSysIO.sys');
DeleteFileMask('C:\DOCUME~1\Igor\LOCALS~1\Temp','*.*',true);
DeleteFile('C:\WINDOWS\system32\drivers\krhok.sys');
DeleteFile('C:\Documents and Settings\Igor\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\WINDOWS\system32\e9cec12e.exe');
DeleteFile('C:\WINDOWS\system32\xwhqfg.exe');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
RenameFile('C:\WINDOWS\system32\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.bak');
CopyFile('C:\WINDOWS\system32\dllcache\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][U][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/U][/B]" над первым сообщением темы)

Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.

Сделайте новые логи AVZ
08.08.2010, 03:09
nord34

Воити в безопасный режим не получается, может потому что установлен загрузчик на две О.С.
Запустил WEB CURE, нашел зараженные в system32 - syspanel32.exe sfcfiles.bak, в папках с браузерами setupapi.dll , в документах подозрительный svchost.exe, все удалил. После перезагрузки они больше не появились.
08.08.2010, 15:01
nord34

Сейчас вроде все работает нормально.
08.08.2010, 15:21
Никита Соловьев

Ещё не всё :)

[B]Загрузите ПК в безопасном режиме[/B]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sfcfiles.bak','');
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\WINDOWS\system32\fcfc5012.exe','');
QuarantineFile('C:\Documents and Settings\Igor\Application Data\Microsoft\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Igor\Главное меню\Программы\Автозагрузка\monoca32.exe','');
DeleteFile('C:\Documents and Settings\Igor\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\Documents and Settings\Igor\Application Data\Microsoft\svchost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe');
DeleteFile('C:\WINDOWS\system32\fcfc5012.exe');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Panel');
DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам

Сделайте новые логи
08.08.2010, 16:18
nord34

войти в безопасный не получается, грузит безопасный и сбрасывается.
08.08.2010, 16:20
Никита Соловьев

Выполните проверку [URL=http://support.kaspersky.ru/viruses/rescuedisk?level=2]Kaspersky Live CD[/URL]
08.08.2010, 19:03
nord34

Выполнил скрипт в безопасном режиме. Может как то обойти Kaspercky Live CD, с мобильным интернетом долго его собирать придется. Есть старый жесткий диск с таким же рабочим Windows.
08.08.2010, 19:05
Никита Соловьев

[QUOTE='nord34;684364']Выполнил скрипт в безопасном режиме.[/QUOTE]Получилось? Тогда live CD не нужен

В логах плохого не увидел. Что с проблемой?
08.08.2010, 19:38
nord34

Да проблем не вижу, а что это было, скрипт какой -то Opera в инете поймала ?
Большое спасибо за помощь !!!
08.08.2010, 20:12
Никита Соловьев

Троянская программа, популярна сейчас
09.08.2010, 20:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sfcfiles.bak - [B]Trojan-Spy.Win32.Agent.biki[/B] ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@a4AKiKf )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]