ПК постоянно виснет [Trojan-Clicker.Win32.Delf.iem
]
Здравствуйте! Вот и у меня появилась проблема с компьтером, которую я самостоятельно не решу, поэтому и обратился к вам как специалистам. Началось с того, что сначала при обращении к различным файлам появлялось окно с сообщением - отказано в доступе (или "программа не запускается (5)"), потом компьтер начал медленно загружаться и тормозить, последнее время тупо зависает. На вирусы проверял - постоянно работает ESS5, проверял и другими утилитами - вирусов не находил. Помогите разобраться, логи прилагаю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) trovich, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\IDAVLab.exe','');
QuarantineFile('C:\WINDOWS\system32\urasvc.exe','');
BC_ImportAll;
BC_Activate;
ExecuteREpair(9);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Последний раз редактировалось thyrex; 09.09.2012 в 14:19.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Присланный скрипт выполнить не могу. При запуске после нескольких секунд появляется сообщение об ошибке: "Faled to set data for "DisplayName", после чего скрипт останавливается.
Скопировал, запустил, результат тот же - появляется то же самое сообщение. А в протоколе AVZ вот что написано:
"Запуск приложения net.exe stop tcpip /yОшибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Admin\Application Data\IDAVLab.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Admin\Application Data\IDAVLab.exe)
Карантин с использованием прямого чтения - ошибка
Файл успешно помещен в карантин (C:\WINDOWS\system32\urasvc.exe)"
Посмотрел на этот сайт, похоже, он никакого отношения к карантину не имеет, его дата создания 1 января 2012 года, размер 701440. Поэтому и не пересылаю.
Вы меня неправильно поняли, попробую пояснить. Я имел ввиду, что скрипт не выполнен до конца, компьютер не перезагружался, в карантине ничего не добавилось, там остались только те файлы, что я уже присылал при оформлении заявки, а это сообщение "Файл успешно помещен в карантин (C:\WINDOWS\system32\urasvc.exe)" я посчитал ошибочным, поэтому и не стал пересылать этот файл. Теперь же я запаковал его и отправил по красной ссылке вверху темы. Название - virus.zip. Было сообщение, что этот файл успешно загружен.
C:\WINDOWS\system32\urasvc.exe - будет детектироваться как Trojan-Clicker.Win32.Delf.iem
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteService('URAjournal');
DeleteFile('C:\WINDOWS\system32\urasvc.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Выполнил, но снова та же ошибка. А в протоколе написано:
Запуск приложения net.exe stop tcpip /y
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка в работе антируткита [Failed to set data for 'DisplayName'], шаг [14]
Скачал утилиту, поместил на рабочий стол, закрыл броузеры, отключил антивирус и файервол на 10 минут, закрыл все программы (интернет не отключал). Запустил утилиту, она шустро поработала секунд 5 (примерно по шкале 90%), потом зависла и висела до включения антивируса. Дальше я ее выгрузил с помощью диспетчера задач. На диске С: искомого текстового файла не образовалось. Что дальше?
Пробовал, но это нереально. Простым удалением (или переименовать) это невозможно, так как файлы этой папки имеют атрибут "только для чтения". Если снять этот атрибут (это удается), то удалить (или переименовать) все равно не удается. А поставить программу типа Undelete тоже не могу, так как не инсталлируется никакая программа. Похоже, все же придется сносить операционку, форматировать системный раздел и устанавливать заново ОС?
Уважаемый(ая) trovich, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
.
