W32.Slugin

[egorus2010]

W32.Slugin
Так определается Авирой и AVG.
На самом деле на компе были файлы Wplugin.dll, ws2help.dll.

Но Авира находит еще кучу exe (около 500 файлов, когда успел?). уже зараженных.

Прочитал, что вирус записывает в exe и dll свой код, а родной код присоединяет где-то дальше.

Virus:Win32/Slugin.A!dll looks for EXE Files to infect in all fixed, removable, and remote drives. It replaces 434 bytes from the entry point of the target file with its own code. The original 434 bytes, a copy of the malicious DLL, and some other virus data are then appended to the target file.

Есть ли возможность именно ВЫЛЕЧИТЬ зараженные файлы?

[Info_bot]

Уважаемый(ая) egorus2010, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Пробуйте лечение с загрузочного диска:
Kaspersky Rescue Disk 10 или он же с USB носителя.
Dr.Web® LiveDisk.

[egorus2010]

1. Да.
Сначала прошелся штатной Авирой.
Но у нее только помещение в карантин или удаление.
Поэтому восстановил всё из карантина обратно.
Затем был утилита avg_remover_slugin.
И затем спасательный диск KAV.
Эти вроде ЛЕЧАТ файлы.
Один или два файла только не смогли вылечить - предложили удалить.
Всё хакеры со своим софтом: "Да всё норм, это ложные срабатывания антивирусов..."
Вот и приходилось его отключать на время работы с подобными утилитами (отладчики, редакторы и .т.п.)
Вот где-то реальная зараза и проскочила.
2. Когда запускаешь утилиту Autologger - нужно выбирать все жесткие диски для сканирования или нет?
Потому что она только на диске С уже час торчит...
А нет - вообще вылетела куда-то...

Что дальше? Еще раз её запустить?

[Vvvyg]

Autologger проверяет только системный диск.
Отключите антивирус и запустите Autologger ещё раз, если не выйдет, пробуйте так.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[egorus2010]

Это логи uVS и AutoLogger

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
deltmp
delall %Sys32%\A6S0H1J.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\EGOR\МОИ ДОКУМЕНТЫ\DOWNLOADS\PROGRAMS\DNSPY官网@20_72601.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\132\DOWNLOADPROXYPS.DLL
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\12.3.26511.901\QMUDISK.SYS
deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT
delref %SystemDrive%\CHINAOLLYDBG\PLUGIN\23J43.SYS
delref %Sys32%\DRIVERS\CATCHME.SYS
delref %SystemDrive%\TEMP\FENGYUE.SYS
delref D:\NBRTEAM\PLUGINS\JHOJHO.SYS
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\CISB8.EXE
delnfr
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Если его нет- продолжайте без него.

Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

Введите sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.

[egorus2010]

sfc /scannow не могу выполнить.
Просит "Компакт-диск SP3".
Я все свои дистры перебрал.
Я пробовал и скрипт "Выполнить проверку sfc_scannow.bat" с одного известного форума.
Не помогает.
Возможно, как-то умудрился поставить какое-то обновление...

[Vvvyg]

Какие-то существенные проблемы остаются?

[egorus2010]

Смотря с какой стороны смотреть...
"sfc /scannow не могу выполнить." - это существенная проблема?
Скорее да, чем нет.

Slugin вроде как в итоге добился Касперским диском и утилем от AVG.

По скрипту. В основном, это были остатки TENCENT, китайского антивируса.
Ничего страшного он (скрипт) уже не нашел. Dll-ка от COMODO в system32 оставалась, guard32. Кое-чего еще пыталась защищать - висела в процессах.

Комп сильно тормозит. (Хотя в системе много чего, типа HASP, FLexLM, SQL и прочих сервисов. Они скорости явно не добавляют.
На проверку этой проблемы есть какой-нибудь скрипт?

[Vvvyg]

Это уже только вручную анализировать.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

Exec wevtutil.exe epl System system.evtx
Exec wevtutil.exe epl Application Application.evtx
Exec wevtutil.exe epl Security Security.evtx
Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=512m Events.7z *.evtx

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
В папке с UVS появится архив Events.7z, загрузите его на rghost.ru или в облачное хранилище и дайте ссылку в теме.

[egorus2010]

Выполняю скрипт.
Кстати, во время анализа автозапуска, пишет:
(!) DEBUG: extra long file detected.
И очень долго на этом заморачивается.
В этом есть какая-то проблема, так может быть?
Может, сразу что-то сделать, проверить?

PS. Скрипт отработал. Только он пустой. Приложил еще лог, который одновременно образовался.
http://rgho.st/8CkhbGvCN
http://rgho.st/private/6qxD87BZZ/813...7a4b45177ea118

[Vvvyg]

Система Windows XP, нужной утилиты нет. Так что проблематично дальше искать причины тормозов.