-
Junior Member
- Вес репутации
- 52
Помогите удалить остатки трояна
Производил лечение от троянов средсвами CureIt, затем лечился от СМС-вымогателя, и видимо, что то осталось от них в системе. Система часто виснет, приложения тормозят, а самое главное, раз-два за рабочий день выскакивает окошко с ошибкой svchost.exe, после этого отлетают все USB-флешки и становится неактивной панель задач.
WinUpdatе похоже не работает, хотя ОС лицензионная, частенько отваливается сам по себе DrWeb (тоже лицензионный).
Логи прилагаю:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (file missing)
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (file missing)
O9 - Extra button: QIP 2005 - {1EF681F7-A04B-4D6D-9012-A307CCA55610} - C:\Program Files\QIP\qip.exe (file missing) (HKCU)
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sound.drv:YpVAA6WnDAA','');
DeleteFile('C:\WINDOWS\system32\sound.drv:YpVAA6WnDAA');
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Удалите Bonjour
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
Вобщем, только что снова выскочило окошко с сообщением об ошибке, но вроде все работает и флешки и панель задач. До выхода окошка, работал с Экселем.
-
Пофиксите в HiJack
Код:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Обновления на систему, вышедшие после SP3, все установлены?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Пофиксил. Обновления все установлены, по крайней мере WinUpdate ничего нового устанавливать не просит.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
в принципе ничего опасного. Можете удалить найденное
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
снова выскочило вышеобозначенное окошко. И слетела панель задач, т.е. она как бы присутствует, но кликнуть на ней нельзя.
-
- Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(6);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 52
Скрипт выполнил, но все равно.
Окошко периодически вылетает и после этого хоть вешайся
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
После работы ComboFix что-либо изменилось?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Пока мало статистики, в смысле, мало времени прошло. Но сейчас могу сказать, что тормозов вроде бы стало существенно меньше.
-
Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Подозрительные файлы в карантине оказались повреждены
Если с системой порядок, удалите ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
ах да, за время работы ComboFix дважды выскакивала ошибка:
1. Приложение pev.cfxxe совершило ошибку и будет закрыто.
2. Приложение Pev.exe совершило ошибку и будет закрыто.
Так карантин-то прислать заново или бесполезно?