-
Junior Member
- Вес репутации
- 52
Последствия вирусов.
На бухгалтерский комп проникли вирусы. Долго вычищал с помощью AVP Tool, AVZ, KIS, руки. Вроде как вычистил всё или почти всё (KIS с последними базами ничего не находит). Остались только последствия.
1. Нет языковой панели. Запуск ctfmon.exe из system32 или прописывание его в автозапуск не помогает. Языковая панель появляется в настройках в панели управления, но как только я пытаюсь изменить её насттройки, после нажатия ок, кнопка языковой панели снова становится не активной, а процесс ctfmon выгружается.
2. При запуска explorer\internter explorer вылезает ошибка
"rundll
ошибка при загрузке
не найден указанный модуль"
3. Какое-то новое устройство пытается найти (слетели драйвера?). но на нём нет Dev Id или Vendor Id.
Вроде всё, хотя может что-то ещё забыл.
Логи прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Как много всего непонятного!
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\RVYPFAEE\H001.exe','');
QuarantineFile('C:\WINDOWS\system32\iB\H001.exe','');
DelCLSID('79b25eed-f13a-468f-468f-024be776ac92');
QuarantineFile('C:\WINDOWS\system32\kaivcdnqy\lsass.exe','');
QuarantineFile('C:\Program Files\AvRack\hilno.dll','');
DelBHO('{4A6A3668-9092-4328-9D87-9CA29BD70492}');
QuarantineFile('C:\WINDOWS\system32\0c5r.dll','');
QuarantineFile('C:\WINDOWS\system32\panp.exe','');
QuarantineFile('C:\WINDOWS\system32\dxxyme.exe','');
QuarantineFile('c:\windows\mfc.exe','');
QuarantineFile('C:\WINDOWS\system32\e00d.exe','');
DeleteService('kernel');
QuarantineFile('c:\windows\system32\kernel.exe','');
DeleteService('fars');
QuarantineFile('C:\WINDOWS\system32\iB\J002.exe','');
QuarantineFile('C:\WINDOWS\system32\iB\P001.exe','');
QuarantineFile('c:\progra~1\netmee~1\fbhii.lib','');
DeleteFile('C:\WINDOWS\system32\iB\J002.exe');
DeleteFile('c:\windows\system32\kernel.exe');
DeleteFile('C:\WINDOWS\system32\0c5r.dll');
DeleteFile('C:\WINDOWS\system32\kaivcdnqy\lsass.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать логи после перезагрузки.
Загрузить карантин по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Выполнили скрипт.
Исчезла проблема с rundll. Перестало искаться устройство.
Остались проблемы с языковой панелью и ещё какой-то ярлычок на рабочем столе с иконкой и надписью Internter Explorer, но у него нет свойств и он не удаляется, по правому клику мышкой вылезает меню "создать ярлык".
Логи прилагаю.
-
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
-
Через "Панель управления" настроить языковую панель не получается?
Попробуйте еще в AVZ Файл -- Восст системы - п.6,8 отметить и выполнить
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Ок, щас попробую.
А по поводу ярлыка вида Internet Explorer, который и не ярлык вовсе, а просто висит на рабочем столе и не удаляется - с ним что-то можно сделать?
-
А по поводу ярлыка вида Internet Explorer, который и не ярлык вовсе, а просто висит на рабочем столе и не удаляется - с ним что-то можно сделать?
----
Пришлите его через карантин
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Пункты 6,8 выполнил не помогло.
Скопировал даже ctfmon.exe с другого компа - тоже не помогло.
Происходит так. ctfmon.exe запускается при загрузке windows (или я могу запустить его лично). Я захожу в языки, нажимаю на кнопку языковой панели, ставлю галочку "отображать" (панель появляется) > ОК > Применить. Панель исчезает. ctfmon.exe исчезает из процессов. Захожу в языки снова, а кнопка "языковая панель" уже засвечена серым и недоступна.
Каким образом скинуть ярлык Internet Explorer, который находится на рабочем столе через карантинт не знаю.
Он физически не находится ни в одной из папок Desktop в Docs And Settings, не копируется с самого десктопа, при нажатии на него правой кнопкой появляется диалог "создать ярлык" и всё. На копи-паст не реагирует. При двойном клике создаёт на рабочем столе уже физический "ярлык для Internet Explorer" с совершенно нормальными свойствами, который я могу удалить даже.
Вот такая загадка.
-
Скриншот с ярлыком пришлите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Прикладываю скрины.
И всё ещё не знаю что делать с исчезающим ctfmon.exe
-
Сообщение от
Olmer
не знаю что делать с исчезающим ctfmon.exe
Установите это: http://punto.yandex.ru/
-
-
Junior Member
- Вес репутации
- 52
Puntoswitcher помог, спасибо.
Если с ярлыком идей нету, то тему можно закрывать, пожалуй.
Большое спасибо за всё .
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\0c5r.dll - not-a-virus:AdWare.Win32.BHO.ljv ( DrWEB: BackDoor.Bho.209, BitDefender: Application.Generic.285995, NOD32: Win32/Adware.WSearch.AD application, AVAST4: Win32:Adload-LR [Trj] )
-