Выкидывает синий экран не работает инет
У коллеги по работе проблема, подхватил трояна, проявилось тем, что на рабочем столе поменялись обои на изображение желтого прямоугольника на синем фоне с предупреждением на английском языке о необходимости установки антивируса, хотя он стоит (Nod 32). после чего возможностьт менять обои пропала вовсе, исчезла такая вкладка, и комп стал выкидывать синий экран. Логи прикладываю. Заранее спасибо за помощь!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\codeblocks.exe,C:\WINDOWS\system32\ntos.exe, O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\svshost.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\codeblocks.exe',''); QuarantineFile('C:\WINDOWS\system32\blphc3h8j0eeac.scr',''); QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\qandr.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys',''); QuarantineFile('C:\DOCUME~1\Evgenia\LOCALS~1\Temp\ASFW_HideEXE',''); QuarantineFile('c:\windows\system32\..\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\sysuser\System.exe',''); QuarantineFile('C:\WINDOWS\system32\sysuser\sys2.dll',''); QuarantineFile('C:\WINDOWS\system32\sysuser\sys.dll',''); QuarantineFile('C:\WINDOWS\services.exe',''); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\WINDOWS\system32\sysuser\sys.dll'); DeleteFile('C:\WINDOWS\system32\sysuser\sys2.dll'); DeleteFile('C:\WINDOWS\system32\sysuser\System.exe'); DeleteFile('c:\windows\system32\..\svchost.exe'); DeleteFile('C:\DOCUME~1\Evgenia\LOCALS~1\Temp\ASFW_HideEXE'); DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys'); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys'); DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); DeleteFile('C:\WINDOWS\system32\blphc3h8j0eeac.scr'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\svshost.dll'); BC_ImportALL; BC_DeleteSvc('runtime2'); BC_DeleteSvc('qandr'); BC_DeleteSvc('protect'); BC_DeleteSvc('ctl_w32'); BC_DeleteSvc('ASFW_HideEXE'); BC_DeleteSvc('msupdate'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=24740).
Сделайте новые логи, начиная с п.10 правил.
Добавлено через 1 минуту
Работоспособность интернета поможет восстановить эта программка:
http://www.tksinc.us/downloads/WinsockXPFix.exe
только настройки сетевых подключений после нее придется заново ввести.
Последний раз редактировалось Bratez; 17.06.2008 в 12:59. Причина: Добавлено
I am not young enough to know everything...
Хм... странно после запуска этой программы
с инетом так ничего пока не получилось, также до сих пор не отображается вкладка в свойствах рабочего стола... карантин отослал, логи прикрепляю...Значит что-то еще осталось?!Сообщение от Bratez
Последний раз редактировалось AMD; 17.06.2008 в 14:29.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; QuarantineFile('C:\WINDOWS\PMCommon.dll',''); QuarantineFile('C:\WINDOWS\system32\cpwmon2k.dll',''); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24740 ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Пункт 2 правил выполняли? Если нет - лучше выполните.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Все в порядке проблема решена всем еще раз огромное спасибо!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 35
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\services.exe - Trojan.Win32.Agent.rxm (DrWEB: Trojan.Packed.573)
- c:\\windows\\system32\\sysuser\\sys2.dll - not-a-virus:RiskTool.Win32.HideProc.g (DrWEB: Trojan.PWS.Qqpass.1305)
Уважаемый(ая) AMD, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
