Printable View
Здравствуйте!
Словил на днях указанный в теме вирус.
При загрузке системы всплывало окно угрозы от avast, в автозагрузке появились непонятные программы, а стандартная папка автозагрузки (из меню "пуск") была вообще отключена.
Вроде избавился от всего, с утра было все нормально.
Однако сейчас при включении снова вылезает avast с угрозой.
Помогите, пожалуйста, разобраться, в чем дело.
Заранее спасибо!
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -
[CODE]R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system\dwm.exe');
QuarantineFile('c:\windows\system\dwm.exe','');
TerminateProcessByName('c:\windows\system32\drivers\svtanegar.exe');
QuarantineFile('c:\windows\system32\drivers\svtanegar.exe','');
QuarantineFile('C:\WINDOWS\system\dwm.exe','');
QuarantineFile('C:\WINDOWS\system32\msxslt3.exe','');
DeleteFile('C:\WINDOWS\system32\msxslt3.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MsXSLT');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
Помогло.
Спасибо огромное!
Ещё не всё. Подождём результатов карантина.
Хорошо.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\drivers\svtanegar.exe');
StopService('svtaneg');
SetServiceStart('svtaneg', 4);
DeleteService('svtaneg');
TerminateProcessByName('c:\windows\system\dwm.exe');
StopService('darkness');
SetServiceStart('darkness', 4);
DeleteService('darkness');
DeleteFile('C:\WINDOWS\system\dwm.exe');
BC_DeleteSvc('darkness');
DeleteFile('C:\WINDOWS\system32\drivers\svtanegar.exe');
BC_DeleteSvc('svtaneg');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
- Подготовьте новые логи
[B]- После лечения меняйте все пароли[/B]
Выкладываю новые логи.
Еще раз спасибо!
Что с проблемой?
Все нормализовалось (по крайней мере, внешне) еще после выполнения первых ваших указаний.
Не забудьте про пароли. У Вас был зверь, который их крадёт.
ОК
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system\\dwm.exe - [B]Backdoor.Win32.Tierry.f[/B] ( DrWEB: Trojan.DownLoader1.9719, BitDefender: Trojan.Generic.5245808, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\drivers\\svtanegar.exe - [B]Trojan-PSW.Win32.Papras.akp[/B] ( DrWEB: Trojan.Click1.27933, BitDefender: Trojan.Generic.5192616, AVAST4: Win32:Malware-gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]