Последствия заражения

Printable View

01.12.2010, 01:07
Igger

Последствия заражения

Добрый день!
Прошу помочь с очисткой ПК от зловредного ПО.
Использовал ранее антивирус Symantec (но очень редко он находил вирусы), пользовался CureIT от DrWeb, вирусы находилисчь лучше, конечно. После перехода на Avast несколько дней все проработало нормально, но сегодня перестал обновляться.
На сайты с антивирусами тоже не было доступа.
Вылечил просто route -f.
Но наверняка еще вирусы остались.
Прошу помочь.
В аттаче логи.
Создался и архив virusinfo_cure.
Заранее спасибо за помощь.
01.12.2010, 02:37
thyrex

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exec:\windows\system32\userinit.exe
O20 - AppInit_DLLs: dfhclfhd.dll,[/CODE]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dfhclfhd.dll','');
DeleteFile('C:\WINDOWS\system32\dfhclfhd.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
01.12.2010, 13:52
Igger

Вложений: 3

Добрый день! Все сделал. Карантин выслал. Прикрепляю файлы. Попутно выяснил вот еще что.
Оказывается, недели 2 назад ребенок ставил на ПК SySoft Sandra.
Программа вела себя очень странно - при запуске ПК уходил в ребут, при попытке деинсталлировать штатными средствами сначала посылал на страницу к создателю ПО, потом при нажатии кнопки ДАЛЕЕ так же перезагружался. В принципе, если программу вообще не трогать, можно и жить дальше, но все-таки можно ли ее как-то удалить?
И второе, после этого в Диспетчере Оборудования повисло Неизвестное Устройство, драйвера под него не находятся, мои девайсы все определены и работают. Сейчас оно просто отключено и сказано ОС драйвера не искать. Имеет ли смысл все это раскапывать дальше?
01.12.2010, 23:48
thyrex

AVZPM зачем включали? Отключите и удалите неизвестное устройство из списка оборудования

Пофиксите в HiJack
[CODE]O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)[/CODE]Плохого больше не видно

[color="#FF0000"][b]Внимание![/b][/color] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [b]прекращена[/b]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="http://get.adobe.com/reader/otherversions/"]Acrobat Reader 9.4[/url] или удалите старый
02.12.2010, 00:06
Igger

Спасибо.
Все сделал.
08.12.2010, 18:25
Igger

Теперь стал компьютер подтормаживать, наблюдаются проблемы со звуком.
Драйверы переустановил, но проблемы это не решило.
09.12.2010, 09:49
Igger

Прикладываю mbam-log с найденными подозрениями на вирусы и руткиты.
Можете посмотреть - есть ли там что-то серьезное?
09.12.2010, 10:15
polword

- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\LtuSoftware (Malware.Trace) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Заражённые папки:
c:\program files\microsoft common (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\documents and settings\igor\мои документы\quarantin\dfhclfhd.dll (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\igor\application data\wiaserva.log (Malware.Trace) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
c:\documents and settings\all users\TempDir\rdb.bat (Trojan.Ransom) -> No action taken.
c:\documents and settings\all users\TempDir\start.bat (Trojan.Ransom) -> No action taken.

[/CODE]
10.12.2010, 10:15
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]