-
Junior Member
- Вес репутации
- 53
Компьютер атаковали вирусы после открытия одного сайта
Добрый день! Помогите, пожалуйста!
Компьютер атаковали вирусы после открытия одного сайта (сейчас не вспомню какого именно).
После посещения этого сайта вылезло окошечко с оповещением о том, что были сделаны изменения в системных файлах, компьютер попросил сделать восстановление. А восстановление системы у меня было отключено. После чего и начались проблемы: все программы начали работать медленно, что-то вообще не загружалось.
После проверки антивирусником доктор веб, скорость работы программ вернулась, но исчезли фалы запуска некоторых программ, например, таких, как winamp, приложения для принтера и т.д.
И еще антивирусник постоянно сообщает о вирусах.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Отключите:
-Все защитные приложения
-ПК от интернета
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ieudinit.exe','');
QuarantineFile('C:\Program Files\opera\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\pguhci.exe','');
QuarantineFile('C:\WINDOWS\system32\a3adc3d1.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\zreveqvn.sys','');
QuarantineFile('C:\Program Files\Mozilla Firefox\SETUPAPI.dll','');
QuarantineFile('C:\WINDOWS\system32\lafwkz.exe','');
DeleteFile('C:\Program Files\Mozilla Firefox\SETUPAPI.dll');
DeleteFile('C:\WINDOWS\system32\a3adc3d1.exe');
DeleteFile('C:\WINDOWS\system32\pguhci.exe');
DeleteFile('C:\Program Files\opera\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\lafwkz.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
-
-
Junior Member
- Вес репутации
- 53
карантин+логи
отправила карантин
прикрепила новые логи
-
Есть один файл, давайте попробуем его проверить.
Отключите:
-Все защитные приложения
Выполните скрипт в AVZ:
Код:
var
Lines : TStrings;
i : integer;
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
ClearLog;
Lines := TStringList.Create;
SearchFiles('C:\WINDOWS\System32\Drivers', 'zreveqvn.sys', Lines, true, false);
for i:= 0 to Lines.Count-1 do
AddToLog(Lines[i]);
QuarantineFile(Lines[i], '');
SaveLog(GetAVzDirectory+'avz.log');
BC_QrFile(Lines[i]);
BC_Activate;
Lines.Free;
RebootWindows(true);
end.
Компьютер перезагрузится.
Файл avz.log из папки с AVZ приложите к следующему сообщению.
Если в карантине будет не пусто, то:
-Выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
-
-
Junior Member
- Вес репутации
- 53
скрипт не выполняется
скрипт не выполняется. программа пишет: "List index out of bounds (0)"
-
-
-
Junior Member
- Вес репутации
- 53
-
Скорее всего файла не существует на диске.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\zreveqvn.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\zreveqvn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('zreveqvn');
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте повторные логи.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 53
nod32 постоянно сообщает об угрозе от вируса win32/Expiro.R
пишет в комментариях: Событие при попытке доступа к файлу приложением C:\WINDOWS\system32\rundll32.exe.
и еще что делать с программами, у которых исчезли файлы запуска (или они заблокированы)? снова переустанавливать сами программы?
-
Сообщение от
malinika
nod32 постоянно сообщает об угрозе от вируса win32/Expiro.R
http://virusinfo.info/showthread.php?t=15927
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\mozilla firefox\\setupapi.dll - Trojan.Win32.BHO.blrm ( DrWEB: Trojan.WinSpy.1008, BitDefender: Gen:Variant.Buzy.1635, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Small-NSZ [Trj] )
- c:\\program files\\opera\\setupapi.dll - Trojan.Win32.BHO.blrm ( DrWEB: Trojan.WinSpy.1008, BitDefender: Gen:Variant.Buzy.1635, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Small-NSZ [Trj] )
-