Компьютер атаковали вирусы после открытия одного сайта

**malinika** · 10.04.2011, 13:22

Добрый день! Помогите, пожалуйста!

Компьютер атаковали вирусы после открытия одного сайта (сейчас не вспомню какого именно).
После посещения этого сайта вылезло окошечко с оповещением о том, что были сделаны изменения в системных файлах, компьютер попросил сделать восстановление. А восстановление системы у меня было отключено. После чего и начались проблемы: все программы начали работать медленно, что-то вообще не загружалось.
После проверки антивирусником доктор веб, скорость работы программ вернулась, но исчезли фалы запуска некоторых программ, например, таких, как winamp, приложения для принтера и т.д.
И еще антивирусник постоянно сообщает о вирусах.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Acidorum** · 10.04.2011, 13:30

Здравствуйте.
Отключите:
-Все защитные приложения
-ПК от интернета
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ieudinit.exe','');
QuarantineFile('C:\Program Files\opera\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\pguhci.exe','');
QuarantineFile('C:\WINDOWS\system32\a3adc3d1.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\zreveqvn.sys','');
QuarantineFile('C:\Program Files\Mozilla Firefox\SETUPAPI.dll','');
QuarantineFile('C:\WINDOWS\system32\lafwkz.exe','');
DeleteFile('C:\Program Files\Mozilla Firefox\SETUPAPI.dll');
DeleteFile('C:\WINDOWS\system32\a3adc3d1.exe');
DeleteFile('C:\WINDOWS\system32\pguhci.exe');
DeleteFile('C:\Program Files\opera\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\lafwkz.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.

**malinika** · 10.04.2011, 14:12

отправила карантин
прикрепила новые логи

**Acidorum** · 10.04.2011, 14:59

Есть один файл, давайте попробуем его проверить.
Отключите:
-Все защитные приложения
Выполните скрипт в AVZ:

Код:

var
 Lines : TStrings;
 i : integer;
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
ClearLog;
 Lines := TStringList.Create;
 SearchFiles('C:\WINDOWS\System32\Drivers', 'zreveqvn.sys', Lines, true, false);
 for i:= 0 to Lines.Count-1 do
  AddToLog(Lines[i]);
QuarantineFile(Lines[i], '');
SaveLog(GetAVzDirectory+'avz.log');
BC_QrFile(Lines[i]);
BC_Activate;
 Lines.Free;
RebootWindows(true);
end.

Компьютер перезагрузится.
Файл avz.log из папки с AVZ приложите к следующему сообщению.
Если в карантине будет не пусто, то:
-Выполните ещё один скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).

**malinika** · 10.04.2011, 21:27

скрипт не выполняется. программа пишет: "List index out of bounds (0)"

**Acidorum** · 10.04.2011, 21:46

Файл avz.log сохранился?

**malinika** · 10.04.2011, 21:52

нет

**Acidorum** · 10.04.2011, 21:56

Скорее всего файла не существует на диске.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\zreveqvn.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\zreveqvn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('zreveqvn');
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте повторные логи.
Что с проблемой?

**malinika** · 10.04.2011, 23:00

nod32 постоянно сообщает об угрозе от вируса win32/Expiro.R
пишет в комментариях: Событие при попытке доступа к файлу приложением C:\WINDOWS\system32\rundll32.exe.

и еще что делать с программами, у которых исчезли файлы запуска (или они заблокированы)? снова переустанавливать сами программы?

**thyrex** · 12.04.2011, 23:54

Сообщение от malinika

nod32 постоянно сообщает об угрозе от вируса win32/Expiro.R

http://virusinfo.info/showthread.php?t=15927

**CyberHelper** · 13.04.2011, 23:54

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 17
В ходе лечения обнаружены вредоносные программы:
1. c:\\program files\\mozilla firefox\\setupapi.dll - Trojan.Win32.BHO.blrm ( DrWEB: Trojan.WinSpy.1008, BitDefender: Gen:Variant.Buzy.1635, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Small-NSZ [Trj] )
2. c:\\program files\\opera\\setupapi.dll - Trojan.Win32.BHO.blrm ( DrWEB: Trojan.WinSpy.1008, BitDefender: Gen:Variant.Buzy.1635, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Small-NSZ [Trj] )

Компьютер атаковали вирусы после открытия одного сайта (заявка № 100572)

Опции темы

Компьютер атаковали вирусы после открытия одного сайта

карантин+логи

скрипт не выполняется

Антивирусная помощь

Итог лечения

Похожие темы

После открытия файла компьютер медленно работает, сильно загружен цп

Компьютер перезагрузился после открытия архива

Вирус после посещения одного латвийского сайта

после открытия сайта aribel.ru - началось - opera вылетает через пару минут после запуска (а AVPTool находит но не удаляет - trojan.win32.small.bxz)

IE не открывает ни одного сайта

Ваши права в разделе