-
Junior Member
- Вес репутации
- 50
Антивирусы не работают, открываются сайты.
Оставил комп подруге на лето. Теперь:
При подключении к инету периодически произвольно открывается Интернет Эксплорер и переходит на различные сайты. После отключения, естественно, перестает.
CureIT, AVZ виснут после начала сканирования, AVZ просто виснет, CureIT выбрасывает ошибку:"Исключение неизвестное программное исключение (0xe06d77363) в приложении по адресу 0x7c812aeb."
HiJackThis после нажатия на кнопку "Do a system scan and save a logfile" выбрасывает окно с ошибкой:
"An unexpected error has occured at procedure: modMain_CheckOther1Item()
Error #70 - Permission denied" и варианты да - нет. При нажатии "нет" делает сканирование, пишет scan complete и моментально виснет.
Работает только полиморфный AVZ.
Пока пытался заниматься самолечением, нашел файлы pagefile.pif и autorun.inf в корне каждого диска. Удалить их не получается.
Браузеры закрываются, если в гугле ввести "pagefile.pif"
Последний раз редактировалось iaistalker; 31.08.2010 в 18:25.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Ссылки активные попрошу Вас убить.
-
-
Junior Member
- Вес репутации
- 50
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\com\lsass.exe');
TerminateProcessByName('c:\windows\system32\com\smss.exe');
QuarantineFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\tawqkqrax.sys','');
DeleteService('anwicartdldvamk');
QuarantineFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\lsuoq.sys','');
DeleteService('hzfbhgx');
QuarantineFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\idelwjalgx.sys','');
DeleteService('qompqjzkomqddgg');
QuarantineFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\rwgzpydvqraw.sys','');
DeleteService('tiexvdbsiyx');
QuarantineFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\xbhhuchkuiyuyj.sys','');
DeleteService('xlxgkrgax');
QuarantineFile('c:\windows\system32\com\lsass.exe','');
QuarantineFile('c:\windows\system32\com\smss.exe','');
QuarantineFile('C:\pagefile.pif','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\pagefile.pif');
BC_DeleteSvc('xlxgkrgax');
DeleteFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\xbhhuchkuiyuyj.sys');
BC_DeleteSvc('tiexvdbsiyx');
DeleteFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\rwgzpydvqraw.sys');
BC_DeleteSvc('qompqjzkomqddgg');
DeleteFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\idelwjalgx.sys');
BC_DeleteSvc('hzfbhgx');
DeleteFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\lsuoq.sys');
BC_DeleteSvc('anwicartdldvamk');
DeleteFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\tawqkqrax.sys');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
Добавлено через 13 минут
Ещё сделайте лог Гмер
Последний раз редактировалось olejah; 31.08.2010 в 18:43.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 50
HiJackThis по прежнему выбрасывает ошибку, но лог сохранился.
Сайты все так же открываются.
-
Junior Member
- Вес репутации
- 50
Гмер при запуске выбрасывает ошибку:
Инструкция по адресу "0x0045c887" обратилась к памяти по адресу "0x00000008". Память не может быть "read"
-
Проверьтесь так - http://support.kaspersky.ru/faq/?qid=208636926
- Лог приложите сюда
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt
-
-
Junior Member
- Вес репутации
- 50
-
Для этого
obvious (2933b487f71928034eb5a9c300172996) C:\WINDOWS\system32\DRIVERS\obvious.sys
2010/08/31 18:14:06.0781 C:\WINDOWS\system32\DRIVERS\obvious.sys - quarantined
2010/08/31 18:14:06.0781 Заблокированный сервис(obvious) - User select action: Quarantine
нужно выбрать действие удалить, потом перезагрузиться, повторить лог и приложить сюда
-
-
Junior Member
- Вес репутации
- 50
-
Выполните скрипт в АВЗ -
Код:
begin
SetAVZGuardStatus(True);
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
DeleteFile('c:\windows\system32\com\lsass.exe');
DeleteFile('c:\windows\system32\com\smss.exe');
DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
DeleteFile('C:\WINDOWS\system32\dnsq.dll');
DeleteFile('C:\pagefile.pif');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\NetApi000.sys');
DeleteFile('C:\WINDOWS\System32\drivers\alg.exe');
DeleteFile('C:\037589.log');
DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
DeleteFileMask('c:\', 'lsass.exe.*', false);
DeleteFileMask('C:\Documents and Settings\All Users\Start Menu\Programs\Startup\', '*.exe', false);
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.
- Файл boot_clr.log из папки с АВЗ прикрепите к следующему сообщению
- Повторите логи АВЗ
-
-
Junior Member
- Вес репутации
- 50
-
Да, тяжёлый червяк.
Выполните скрипт в АВЗ в безопасном режиме -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\-stalker-\ctfmon.exe');
DeleteFile('C:\Documents and Settings\-stalker-\Application Data\lwtwfl.exe');
DeleteFile('D:\pagefile.pif');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\pagefile.pif');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
- Повторите лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 50
в безопасный режим не заходит, перезагружается после загрузки файла vax347b.sys
в обычном режиме файлы не удаляются :/
Добавлено через 2 часа 59 минут
Проблема решена.
После кучи перебранного софта помог онлайновый HouseCall от Trend Micro. Причем он убил сразу и все и пофиксил тоже сразу все.
Спасибо за потраченное вами время, Олег.
Последний раз редактировалось iaistalker; 01.09.2010 в 00:56.
Причина: Добавлено
-
Удивительно, а я уже голову ломал чем бы его ещё бить.
-
-
Junior Member
- Вес репутации
- 50
После чистки Хаус Коллом поставил нод Смарт секьюрити и пошел спать. Утром все лагало, нод ничего не видит, Тренд не запускается, программа анлокер (ей до этого удалил dnsq.dll, хоть это и не помогло) тоже.
Короче все заново. подключил винт к компу друга, в безопасном прогнал нодом. Убил кучу всего - легла система.
Переустановил систему, поставил только драйвера, начал ставить приложения - снова полезли сайты.
pagefile.pif, autorun.inf, dnsq.dll на месте.
С винта поставил только квип и тотал коммандер, остальное скачивал свежее.
Я так понимаю, что вирь сидит в одном из них, либо в самом дистрибутиве, так?
Ведь чтобы активироваться, ему нужен запуск?
Добавлено через 30 минут
Еще раз переустановил систему, отформатировал диск С. После установки даже не стал заходить в обычный режим, просто нажал ресет и зашел в безопасный.
запустил АВЗ. Все вири на местах.
C:\pagefile.pif
D:\pagefile.pif
C:\autorun.inf
D:\autorun.inf
C:\windows\system32\dnsq.dll
C:\windows\system32\com\smss.exe
C:\windows\system32\com\lsass.exe
C:\windows\system32\com\netcfg.dll
C:\windows\system32\com\netcfg.000
Снова установил Unlocker, поудалял эти файлы. dnsq.dll продолжала восстанавливаться каждые минут пять. Почистил реестр. Перестала восстанавливаться. АВЗ теперь не находит ничего, ХайДжек тоже, ХоумКолл еще на глубоком сканировании и пробудет там часа полтора.
Интересно, что будет после перезагрузки
Последний раз редактировалось iaistalker; 01.09.2010 в 14:47.
Причина: Добавлено
-
Если что - пишите, попрошу помощи у коллег, червяк этот гадкий.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\\autorun.inf - Worm.Win32.AutoRun.dck ( DrWEB: Win32.HLLW.Autoruner.868, BitDefender: Trojan.Harnig.WA, NOD32: INF/Autorun worm, AVAST4: INF:AutoRun-R [Wrm] )
- c:\\pagefile.pif - Virus.Win32.Xorer.el ( DrWEB: Win32.HLLP.Rox.12, BitDefender: Worm.Generic.74301, NOD32: Win32/Xorer virus, AVAST4: Win32:Xorer-T [Trj] )
- c:\\windows\\system32\\com\\lsass.exe - Virus.Win32.Xorer.el ( DrWEB: Win32.HLLP.Rox.12, BitDefender: Worm.Generic.74301, NOD32: Win32/Xorer virus, AVAST4: Win32:Xorer-T [Trj] )
- c:\\windows\\system32\\com\\smss.exe - Virus.Win32.Xorer.dt ( DrWEB: Win32.HLLP.Rox, BitDefender: Trojan.Generic.7465850, NOD32: Win32/Xorer.DR virus, AVAST4: Win32:Xorer-I )
- c:\\windows\\system32\\dnsq.dll - Virus.Win32.Xorer.ee ( DrWEB: Win32.HLLP.Rox, BitDefender: Win32.Xorer.ED, NOD32: Win32/Xorer.NAD virus, AVAST4: Win32:Agent-ABCY [Trj] )
- d:\\autorun.inf - Worm.Win32.AutoRun.dck ( DrWEB: Win32.HLLW.Autoruner.868, BitDefender: Trojan.Harnig.WA, NOD32: INF/Autorun worm, AVAST4: INF:AutoRun-R [Wrm] )
-
