Помогите разобраться. Букет вирусов.

[Sergeich84]

Недавно при входе в систему начало появляться предупреждение: "RUNDLL: ошибка при загрузке thxr.wgo; не найден указанный модуль". Порнобаннера не было, видимо его сразу убил ESET. Одновременно Internet Explorer стал грузить ЦП на 100%.

После лечения ESETом, CureIT! и AVZ предупреждение при входе в систему пропало, Internet Explorer стал нормально работать, но через какое-то время обнаружил, что ESET перестал обновляться, и на этот раз стала тормозить Opera, которой я в основном пользуюсь, в ней пропал звук, и невозможно зайти на сайти антивирусов. Переустановил Opera, Flash player, звук не появился. При попытке печати страницы в Opera стали появляться предупреждения об ошибке setupapi.dll, печать невозможна. Выполнил команду route -f, обновил ESET.

Сейчас CureIT! находит и вылечивает Trojan.WinSpy.663 в sfcfiles.dll (C:\WINDOWS\system32).

ESET за сегодня нашел и вылечил:
1. "C:\WINDOWS\system32\drivers\sfc.sys модифицированный Win32/Rootkit.Agent.NSY троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\winlogon.exe".

2. "C:\Program Files\Opera\setupapi.DLL Win32/Agent.ODX троянская программа очищен удалением - изолирован HOME1954\Sergey Событие произошло при попытке запуска файла следующим приложением: C:\Program Files\Opera\opera.exe". + еще 2 этих трояна в других папках

3. "C:\DOCUME~1\Sergey\LOCALS~1\Temp\avz_3320_raw .tmp Win32/Spy.Shiz.NAO троянская программа очищен удалением - изолирован HOME1954\Sergey Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\Sergey\Рабочий стол\avz4\avz4\avz.exe". + еще 3 этих же трояна по другим адресам.

4. Только что обнаружил Win32/Kryptik.DYI троянская программа очищен удалением - изолирован

Помогите, пожалуйста, разобраться, осталось ли у меня что-то после лечения. Сейчас все, вроде, работает нормально - звук в Opera появился, ничего не тормозит явно, но что-то подсказывает, что это не конец.

[polar_owl]

Здравствуйте.
Закройте все программы, выгрузите антивирус, фаерволл
Отключите ПК от интеренета, локальной сети.
пофиксите В Хиджаке:

Код:

F2 - REG:system.ini:  UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\13365033.exe,C:\WINDOWS\system32\84502c11.exe,\\?\globalroot\systemroot\system32\XmRSvvC.exe,\\?\globalroot\systemroot\system32\mUexrPz.exe,\\?\globalroot\systemroot\system32\Jx4K2vG.exe,

Выполните в АВЗ скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\XmRSvvC.exe','');
QuarantineFile('C:\WINDOWS\system32\Jx4K2vG.exe','');
 QuarantineFile('C:\WINDOWS\system\iyvu9.dll','');
 QuarantineFile('C:\WINDOWS\system\ir41.dll','');
 QuarantineFile('C:\WINDOWS\system\ir32.dll','');
 QuarantineFile('C:\WINDOWS\system32\84502c11.exe','');
 QuarantineFile('C:\WINDOWS\system32\13365033.exe','');
QuarantineFile('C:\WINDOWS\system32\mUexrPz.exe','');
DeleteFile('C:\WINDOWS\system32\mUexrPz.exe');
 DeleteService('msupdate');
 QuarantineFile('c:\windows\system32\vhosts.exe','');
 DeleteFile('c:\windows\system32\vhosts.exe');
 DeleteFile('C:\WINDOWS\system32\13365033.exe');
 DeleteFile('C:\WINDOWS\system32\84502c11.exe');
DeleteFile('C:\WINDOWS\system32\XmRSvvC.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.

Пришлите virus.zip по красной ссылке вверху темы.
Повторите логи.

[Sergeich84]

Спасибо за быстрый ответ!

Файл и логи загрузил.

Отключал инет, локалку, все программы кроме браузера + не знаю, как выгрузить eset, поэтому просто отключил сканирование на время.

[polar_owl]

Поищите в C:\WINDOWS\system32\ файл sfcfiles.dll.
Если не найдете, скопируйте его туда из папки c:\WINDOWS\system32\dllcache\

В логах все чисто. Что с проблемами?

[Sergeich84]

polar_owl, файл в папке C:\WINDOWS\system32\ есть.

Проблем сейчас никаких не заметно. Получается, все вылечили?
Вообще, изначально какие проблемы в логах и virus.zip были выявлены? Мало что в них понимаю...

[polar_owl]

файл в папке C:\WINDOWS\system32\ есть.

Проверьте его на всякий случай на VirusTotal.com

C:\WINDOWS\system32\13365033.exe -- Trojan.Win32.Scar.camf
C:\WINDOWS\system32\84502c11.exe -- Trojan.Win32.Scar.camf

Остальное -- мусор, оставшийся от вирусов.

[Sergeich84]

C:\WINDOWS\system32\13365033.exe -- Trojan.Win32.Scar.camf
C:\WINDOWS\system32\84502c11.exe -- Trojan.Win32.Scar.camf

Это то, что было? Восстановление системы можно включать?

[polar_owl]

Да, это то, что из зловредного было обнаружено.
Восстановление можно включить

[Sergeich84]

Да, это то, что из зловредного было обнаружено.
Восстановление можно включить

На VirusTotal.com файл sfcfiles.dll проверил. Результат: 0/41 (0%)

Спасибо огромное за помощь! надеюсь, все будет работать.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 23
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\13365033.exe - Trojan.Win32.Scar.camf ( AVAST4: Win32:Rootkit-gen [Rtk] )
  2. c:\windows\system32\84502c11.exe - Trojan.Win32.Scar.camf ( AVAST4: Win32:Rootkit-gen [Rtk] )