-
Junior Member
- Вес репутации
- 48
Остались последствия после заражения
Компьютер был заражен вирусом с названием файла f2gn56l6.exe, такое себе окошко посреди рабочего стола с блокировкой Windows и вымогательством денег, так вот он не давал загрузить комп ни в каком режиме, кроме обычной загрузки. Пришлось установить вторую винду, был резерв на 10ГБ, поставил, просканировал всё при помощи Dr.Web CureIt вот он его и нашёл, удалил. Затем программой erd commander5 удалось таки восстановить работу, но замечены некоторые проблемы в работе, а именно практически при каждом включении - перезагрузке появляется сообщение о том, что Брандмауэр Windows отключен и включено Дистанционное управление рабочим столом, далее появились неизвестные мне процессы в Диспетчере задач, а именно BeTwinServiceXP, были и другие, но они как то пропали сами собой. Далее при Завершении работы компьютера, он не выключается, а на несколько секунд выключается кулер на процессоре, при этом дополнительные кулера на системнике продолжают работать и система перезагружается. Ещё при отключении в Диспетчере задач процесса jqs.exe система сразу отключается и снова перезагружается.
Жду Ваших рекомендаций.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша.');
end
else
begin
AddToLog('Файл sfcfiles.dll в кеше не прошел по базе безопасных или отсутствует!');
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386.');
end
else
begin
AddToLog('Файл sfcfiles.dll в i386 не прошел по базе безопасных или отсутствует!');
end;
end;
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
SaveLog('sfcfiles.log');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=101023).
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика)
+ прикрепите файл sfcfiles.log из папки с AVZ.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Скрипт был выполнен без ошибок, однако компьютер не смог перезагрузиться, повис с изображением рабочего стола и курсором, ярлыки и панель задач при этом отсутствовали. Прождал более 5 минут, затем перегрузил с кнопки на системнике. Лог обновил, virus.zip отправил.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Похоже всё работает более стабильно, по крайней мере комп теперь выключается корректно, брандмауэр работает, но остались включенными: Дистанционное управление рабочим столом и процесс BeTwinServiseXP, что очень даже настораживает, подскажите, как с этим бороться. А за остальное, огромное Вам спасибо, реально полезными вещами занимаетесь. Респект Вам и огромное УВАЖЕНИЕ, спасибо за быструю и действенную помощь.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.1015, BitDefender: Gen:Variant.Kazy.20567, AVAST4: Win32:WinSpy-HL [Trj] )
-