-
Junior Member
- Вес репутации
- 57
Подозрение на вирусы
Здравствуйте, помогите пожалуйста!
Проверил на вирусы в безопасном режиме "ДрВеб" и "Касперский". Нашло пару троянов, но машина работает "не оч. хорошо", интернет експлорер не запускается и частенько вылетает ошибка "работа пк будет завершена через 60 сек".
Посмотрите пожалуйста.
Заранее благодарен.
Последний раз редактировалось razmus; 13.01.2011 в 12:03.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в HiJack
Код:
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {0F95467C-AB44-4274-BEEA-2A75AB01B77E} - (no file)
O2 - BHO: (no name) - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - (no file)
O2 - BHO: (no name) - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - (no file)
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Логи сделал. На всякий пожарный сделал отчет mbam. Карантин выслал.
Последний раз редактировалось razmus; 13.01.2011 в 12:03.
-
Удалите в МВАМ
Код:
Заражено ключей реестра:
HKEY_CLASSES_ROOT\Interface\{047d87fd-bfc5-4ac3-9ad3-acecc7b49016} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8e569e70-9e91-4cf9-820c-99ddc3a05a0c} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{d16c8c5d-ecef-4307-a1b8-7e67b991a605} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f89cb572-11d7-4297-bb3f-ca6c69270633} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{b0ed4726-5bc8-4e22-a7a8-3074a73ce64e} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{15c7d7ad-a87a-4c0d-9d8b-637fcd3488ef} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{3a596471-ecbe-4aee-b543-79ae8c8ff7a9} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1094613f-84b6-4131-aec1-71df88291044} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0f95467c-ab44-4274-beea-2a75ab01b77e} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0f95467c-ab44-4274-beea-2a75ab01b77e} (Trojan.FakeAlert) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fieryads (Adware.FieryAds) -> No action taken.
HKEY_CLASSES_ROOT\AppID\pllib.dll (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TotalSecure2009 (Rogue.TotalSecure) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\WinDefender2009 (Rogue.WinDefender) -> No action taken.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: c:\windows\system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken.
Заражено папок:
C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
C:\Program Files\WinDefender (Rogue.WinDefender) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Заражено файлов:
C:\Program Files\FieryAds\FieryAdsUninstall.exe (Adware.FieryAds) -> No action taken.
C:\Program Files\WinDefender\WinDefender.s1 (Rogue.WinDefender) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\c.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\sdra64.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\users64.dat (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\k.txt (Trojan.FakeAlert) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось razmus; 13.01.2011 в 12:03.
-
Junior Member
- Вес репутации
- 57
-
Junior Member
- Вес репутации
- 57
Обновил малваре и касперского (2010 поставил) и обновил винду.
Сделал новый отчет малваре.
Последний раз редактировалось razmus; 13.01.2011 в 12:03.
-
Удалите
Код:
Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> No action taken.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Trojan.BHO) -> No action taken.
Заражено файлов:
C:\Documents and Settings\Oksana\Local Settings\Temp\0.6862152748165975.exe (Trojan.PWS) -> No action taken.
C:\Documents and Settings\Oksana\Local Settings\Temp\0.9768497381563915.exe (Trojan.PWS) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
В логах теперь чисто.
Спасибо огромное.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.hvd ( AVAST4: Win32:Zbot-MEI [Trj] )
-