-
Junior Member
- Вес репутации
- 58
Похоже, подхватил вирус с сайта - помогите вылечить.
Здравствуйте.
В момент посещения одного сайта, FF начал подвисать - сразу попробовал его закрыть - не успел. Компьютер самостоятельно перезагрузился и далее при попытке загрузится я мельком видел синий экран с ошибкой, и комп перегружался вновь. Т.е. загрузится уже не удалось.
В безопасном режиме - также не загружался - был только черный экран (перезагрузки не было.)
Пробовал лечение с помощью Live CD Vba Rescue. Какие-то файлы с вирусами были найдены, удалены. Но ситуация с загрузкой прежняя (перезагружается в обычном, черный экран - в безопасном).
С помощью Восстановления Windows из консоли - выполнил:
chkdsk /p/r -- нашел несколько ошибок.
fixboot.
В безопасном режиме удалось загрузиться. Проверил Dr. Web CureIt! - удалил 3 файла с трояном.
Перезапустил в обычном режиме - согласно правилам - логи:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\vasa\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteFile('C:\Documents and Settings\vasa\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
При включении компьютера - появилось окно - "Доступ в сеть заблокирован ПО Toget Access" с просьбой отправить SMS на 1350.
Выслал карантин. Логи делаю.
-
Junior Member
- Вес репутации
- 58
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [sysgif32] C:\WINDOWS.0\TEMP\~TM18A.tmp
O20 - AppInit_DLLs: C:\WINDOWS.0\system32\cssdll32.dll
O20 - Winlogon Notify: WinCtrl32 - Invalid registry found
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\TEMP\~TM18A.tmp','');
QuarantineFile('C:\WINDOWS.0\system32\cssdll32.dll','');
DeleteFile('C:\WINDOWS.0\system32\cssdll32.dll');
DeleteFile('C:\WINDOWS.0\TEMP\~TM18A.tmp');
DeleteFileMask('C:\WINDOWS.0\TEMP', '*.*',true);
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winsy28');
BC_DeleteSvc('Winfl43');
BC_DeleteSvc('Wincj28');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=64993).
Сделайте новые логи.
Сделайте дополнительно лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
Скрипт выполнил.
Окно блокиратора ПО Toget пока не пропало.
Заметил что при перезагрузке или выключении - операция полностью не выполняется. Т.е. в итоге (темный экран) все равно приходится жать кнопку перезагрузки или удерживать выключение - ранее такого не было.
Логи прилагаю.
gmer сделать не удалось - программа начинает сканирование и вылетает по ошибке - "обнаружена ошибка. Приложение будет закрыто."
-
Скачайте утилиту и запустите. Приложие файл drv.sys в каталоге, откуда Вы запускали get3 вместе с новыми логами AVZ
Последний раз редактировалось Шапельский Александр; 27.01.2010 в 17:47.
-
-
Junior Member
- Вес репутации
- 58
После исполнения утилиты - окно блокиратора пропало. Сеть есть.
Видимое некорректное поведение - неполностью выключается компьютер. Приходится окончательно выключать, удерживая кнопку.
Файлы во вложении.
-
Файл drv.sys переименуйте в USBEHCI.sys и замените в
C:\WINDOWS.0\System32\Drivers\USBEHCI.sys. Лучше это сделать из под LiveCD
Рекомендую обновить, иначе могут быть проблемы
Windows XP SP2
Internet Explorer v7.00
+ установите последние обновления на ОС.
-
-
Junior Member
- Вес репутации
- 58
Спасибо. Теперь все в норме.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\vasa\главное меню\программы\автозагрузка\siszyd32.exe - Backdoor.Win32.Bredolab.bot ( DrWEB: Trojan.Botnetlog.126, BitDefender: Gen:Trojan.Heur.TP.cq0@be7ZYpkG )
-