-
Junior Member
- Вес репутации
- 53
Помогите пожалуйста с ПО File Downloader
Здраувствуйте!
Вчера появилось окошко с просьбой выслать смс. Заблокировался доступ в сеть, пишу с другого компьютера. И постоянно стал грузиться процессор на 50% процессом rapimgr.exe. Высылаю описанные в правилах логи.
Заранее спасибо.
С уважением, Александр.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Нда, сэр, букетик у вас интересный!
1. Запустите утилиту из приложенного архива.
2. Проверьте систему этой утилитой:
http://www.secureblog.info/files/TDSSKiller.rar.
3. Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
4. Обновите базы AVZ!
5. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\zxkfp.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\zxkfp.sys');
ExecuteSysClean;
BC_QrFile('C:\WINDOWS\system32\Drivers\zxkfp.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\zxkfp.sys');
BC_DeleteSvc('zxkfp');
BC_Activate;
RegKeyResetSecurity( 'HKLM', 'SYSTEM\CurrentControlSet\Services\zxkfp');
SetServiceStart('zxkfp', 4);
RebootWindows(true);
end.
Компьютер перезагрузится.
6. Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=64388).
7. Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Все зделал. Баннер пропал, никакие процессы процессор не грузят.
-
Остался еще один зловредный файл:
C:\WINDOWS\system32\Drivers\zxkfp.sys.
Удалить его с помощью AVZ или др. утилит пока затруднительно, сделать это можно с помощью LiveCD или любого загрузочного диска с поддержкой NTFS, например Hiren's Boot CD.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Фаил C:\WINDOWS\system32\Drivers\zxkfp.sys удалил с помощью LiveCD. Сделал новые логи. Все, вроде, работает, только после этого вируса пропали некоторые иконки из правого нижнего угла экрана (Lingvo, Avira, ...). Можно ли их вернуть?
Спасибо Вам!
-
-
-
Сообщение от
Alexander2007
после этого вируса пропали некоторые иконки из правого нижнего угла экрана (Lingvo, Avira, ...). Можно ли их вернуть?
В настройках этих программ поищите опцию вроде "Запускать при старте Windows" и включите ее, а если он уже включена, то попробуйте ее выключить, а потом включить снова.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\alexandr\главное меню\программы\автозагрузка\siszyd32.exe - Backdoor.Win32.Bredolab.boj ( DrWEB: Trojan.Botnetlog.125, BitDefender: Trojan.Downloader.Bredolab.BX, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan )
-