Показано с 1 по 8 из 8.

SpiderGuard не активен (заявка № 54061)

  1. #1
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    35

    Exclamation SpiderGuard не активен

    При запуске Mozilla Firefox появилось сообщение об ошибке "точка входа в процедуру _wstat64 не найдена в библиотеке Msvcrt.dll". Все ярлыки на рабочем столе стали одинаковыми, как стандартный ярлык exe-файла. После перезагрузки Windows ярлыки и Firefox работали нормально, как обычно, а SpiderGuard от DrWeb не загрузился автоматически. При попытке загрузить вручную появляется сообщение об ошибке "Операция успешно завершена" (0). Что-то похожее описано здесь. Проверил сканером с обновленными базами, был найден Trojan.Starter.1069, удалил. Это не помогло, SpiderGuard по-прежнему не загружается автоматически. CureIt в безопасном режиме ничего не нашел.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    205
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\~.exe','');
     QuarantineFile('C:\WINDOWS\Temp\winNOFZCyliz5mmRR.exe','');
     QuarantineFile('C:\WINDOWS\system32\hkSvcSetup.cpl','');
     QuarantineFile('C:\WINDOWS\system32\vmhelper.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\MTictwl.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\usujstnt.sys','');
     DeleteService('usujstnt');
     QuarantineFile('C:\WINDOWS\system32\drivers\rotscxxillxept.sys','');
     QuarantineFile('C:\WINDOWS\system32\RGWIE.dll','');
     DeleteFile('C:\WINDOWS\system32\drivers\rotscxxillxept.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\usujstnt.sys');
     DeleteFile('C:\WINDOWS\Temp\winNOFZCyliz5mmRR.exe');
     DeleteFile('C:\WINDOWS\system32\~.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteSvc('usujstnt');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).

    Сделайте лог гмера по правилам http://virusinfo.info/showthread.php?t=40118

    Обновите базы AVZ и сделайте новые логи.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  4. #3
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    35
    Большое спасибо, SpiderGuard загрузился автоматически. Гмер обнаружил активность руткита. Автоматически обновить AVZ не получилось, выдает сообщение об ошибке "Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip с http:/avz.vifusinfo.info/avz_up/[21, 00002EFD]" или "Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip с http:/z-oleg.com/secur/avz_up/[21, 00002EFD]". Скачал вручную базы с официального сайта и повторил логи.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    205
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится enlfuyxt.exe (gmer)
    Код:
    enlfuyxt.exe -del service rotscxtoqbiqxh
    enlfuyxt.exe -del file "c:\windows\system32\drivers\rotscxxillxept.sys"
    enlfuyxt.exe -del file "rotscxwsp.dll"
    enlfuyxt.exe -del file "c:\windows\system32\rotscxtsvkiphx.dll"
    enlfuyxt.exe -del file "c:\windows\system32\rotscxrbqjatte.dat"
    enlfuyxt.exe -del file "c:\windows\system32\rotscxvgxuiycd.dll"
    enlfuyxt.exe -del file "c:\windows\system32\rotscxspntiqpx.dat"
    enlfuyxt.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rotscxtoqbiqxh"
    enlfuyxt.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rotscxtoqbiqxh"
    enlfuyxt.exe -reboot
    И запустите cleanup.bat. Компьютер перезагрузится.

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DelBHO('{D4D5806E-EA2C-45b2-972D-8BE237697B87}');
     DeleteFile('RGWIE.dll');
     BC_ImportDeletedList;
     ExecuteSysclean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Повторите логи AVZ + гмер.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  6. #5
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    35
    Выполнил cleanup.bat и скрипт. Gmer во время проверки остановил выполнение, перестали работать клавиатура и мышь( не горели индикаторы чувствительности, не двигался курсор ). После перезагрузки Windows заново обнаружила IDE-контроллер, клавиатура и мышь заработали нормально. Повторно запустил Gmer, в этот раз без ошибок и ничего обнаружено не было. Повторил логи. Не знаю, важно это или нет, но Диспетчер процессов ( Ctrl+Alt+Del ) показывает только вкладку с пользователями, другие просто не отображаются. SpiderGuard работает нормально.
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    35
    Наверно, проблема устранена, SpiderGuard загружается и работает нормально. Я на всякий случай повторил логи, если в них нет ничего подозрительного, то наверно это все. Большое спасибо за помощь.
    Вложения Вложения

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,686
    Вес репутации
    3028
    В логах ничего плохого не увидел

    Выполнить скрипт
    Код:
     begin
    SetAVZPMStatus(False);
    ExecuteStdScr(6);
    RebootWindows(true); 
    end.
    Компьютер перезагрузится.

    Установите SP3 (может потребоваться активация) + все новые заплатки
    Установите Internet Explorer 8
    Установите Adobe Acrobat 9.1.3 или удалите старый
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\rotscxxillxept.sys - Packed.Win32.TDSS.z ( DrWEB: BackDoor.Tdss.486, AVAST4: Win32:Alureon-CX [Rtk] )
      2. c:\windows\system32\~.exe - Trojan-Dropper.Win32.Hexzone.eg ( DrWEB: Trojan.MulDrop.34332, BitDefender: Trojan.Generic.1764680, NOD32: Win32/Hexzone.AC trojan, AVAST4: Win32:Trojan-gen {Other} )
      3. c:\windows\temp\winnofzcyliz5mmrr.exe - Trojan-Dropper.Win32.Hexzone.eg ( DrWEB: Trojan.MulDrop.34332, BitDefender: Trojan.Generic.1764680, NOD32: Win32/Hexzone.AC trojan, AVAST4: Win32:Trojan-gen {Other} )


  • Уважаемый(ая) beyored, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 04.04.2012, 19:33
    2. Постоянно активен хард и найден вирус
      От Petrovi4 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 27.02.2011, 15:50
    3. svhost постоянно активен (~10% cpu)
      От rpekfi в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 07.12.2010, 01:04
    4. Ответов: 4
      Последнее сообщение: 31.01.2009, 16:14
    5. Ответов: 5
      Последнее сообщение: 17.08.2007, 13:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00594 seconds with 17 queries