-
Junior Member
- Вес репутации
- 53
Проблема со звуком в браузерах. (не воспроизводится)
Здравствуйте!
Началось всё дня два назад, когда компьютер стал неадекватно тормозить, запустил ComboFix, удалил, вроде всё восстановилось...
Несколько часов назад залез в диспетчер задач и нашёл пару процессов, не относящихся к системе или какой-либо запущенной мною программе. В попытке остановить их комп завис с таким характерным синим экраном названия процесса и ошибки синего экрана я как-то не посмотрел, пардон.
После перезагрузки пропал звук в браузерах. В медиаплеере воспроизводится, а онлайн - нет. скачал Dr.Web-Curiet! выполнил полную проверку - он убил пару вирусов, но звук не появился. Почистил реестр, переустановил кодеки, дрова на звуковую, adobe flash player - не помогло. думаю проблема в повреждённом\инфицированном setupapi.dll. файл находится не только в \sistem32, но и в директориях всех браузеров (Opera, Mozilla FF и IE - последним не пользуюсь вообще), где, насколько мне известно, быть их не должно. попытался удалить - используются др. программами, причём подозрительно многими, в т.ч. не связанными с интернетом. При попытке разблокировать unlock-ером(даже без удаления) - тот-же известный синий экран...
В общем бросил я свой шаманский бубен и решил обратиться к вам. после просмотра логов AVZ подозреваю, что есть на компе еще визуально не заметные вирусы или ошибки.
Прошу помочь, надеюсь, достаточно подробно всё описал, дабы облегчить вам анализ и ускорить лечение прикрепил логи согласно правилам.
Заранее благодарю!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\opera\setupapi.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Man-ager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\Program Files\opera\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
С утра включил компьютер, в диспетчере задач появилось с десяток процессов типа *.tmp с названием в виде цифры 1-9 или заглавной буквы латинского алфавита. ЦП загружен на 100%.
Выполнил скрипт, во время перезагрузки комп завис. Reset. процессов не появилось - что это могло быть?
Карантин выслал.
P.S. в скрипте нет путей setupapi.dll в мозилле - там он не повреждён?
-
Junior Member
- Вес репутации
- 53
Добрый день\вечер
Утром перед учёбой не успел выполнить диагностику.
Компьютер тупит, работать затруднительно. Поначалу просто немного подвисает, а через долгое время(2-3 часа) начинает совершенно неописуемо глючить.
В диспетчере задач слишком много процессов, причём некоторые мне известны - вроде LogMeIn.exe или, а некоторые я вижу впервые ICQ Service.exe (Аська установлена, но почти не используется, процесса не было), mDNSResponder.exe, tlntsvr.exe и др. может некоторые и были, а я просто не обращал внимания, но точно не в таком колличестве точно. Возможно просто паранойя, но настораживает Так-же то, что очень многие процессы, едят по 50 мб памяти, чего раньше тоже не наблюдалось..
Спасибо за поддержку.
Звук в опере появился, но проблемы остались и частично даже усугубились, можно продолжить лечение в этой теме?
Прикрепил логи
Последний раз редактировалось BediVeR; 06.04.2011 в 15:19.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
c:\WINDOWS\system32\sfcfiles.dll замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654 или скопируйте с аналогичной системы
Удалите в МВАМ
Код:
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
Заражённые файлы:
c:\documents and settings\Admin\local settings\temp\0.04247699007539085.exe (Heuristics.Shuriken) -> No action taken.
c:\documents and settings\Admin\local settings\temp\7.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\temp\8.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\temp\9.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\4.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\6.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\A.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\D.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\program files\mozilla firefox\setupapi.dll (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сколько-ж время-то прошло.. пардон, сначала курсовой писал, а потом сидел без инета :\
Указанное в MBAM я удалил в тот-же день, потом долго тупил с заменой c:\WINDOWS\system32\sfcfiles.dll за это время то-ли еще что-то подхватил, то-ли Бог его знает что... простите за тавтлогию
Вышеуказанный файл нашёл на аналогичной системе (с дистрибутивом не разобрался) - как скопировать и заменить?
А вообще за компьютером рботать невозможно, через минут 5 работы вылетает в злосчастный синий экран, пишу с ноута..
В безопасном режиме проверял систему Dr.Web-Curiet, кучу всего нашел, почистил, но проблему не решило, пробовал ComboFix запустить - вылтел с ошибкой и удалился...
Дайте пожалуйста указания
Безопасный работает нормально, может быть логи в нём сделать? по крайней мере HiJackThis, AVZ и МВАМ на компе есть.
Или тут уже только винду переустанавливать? ...
-
попробуйте сделать логи в безопасном
-
-
Junior Member
- Вес репутации
- 53
Короче в топку всё это.
Не буду долго изъясняться, дела, дни рождения, курсовой... да и компьютер матери для работы больше чем нужен.. Друг мне ОСку переустановил, забыл написать ^^ Прошу прощения за потраченное время
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.BHO.blrm ( DrWEB: Trojan.WinSpy.1008, BitDefender: Gen:Variant.Buzy.1635, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Small-NSZ [Trj] )
- c:\\program files\\opera\\setupapi.dll - Trojan.Win32.BHO.blrm ( DrWEB: Trojan.WinSpy.1008, BitDefender: Gen:Variant.Buzy.1635, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Small-NSZ [Trj] )
-