-
winlogon.exe грузит 50% ЦП
В безопасном режиме Вэбом проверял, удалил 3 заражённых файла, но не помогло. Плюс какая-то зараза постоянно рвётся в автозагрузку, ВинПатрол её сдерживает.
http://ipicture.ru/upload/100523/6W87k5gseV.jpg
Еще на один svchost.exe больше чем обычно и Опера не работает, ехе-шник тупо удалён (остальные установочные файлы на месте ), хотя брат божится что не трогал его. Прошу помощи у специалистов.
Последний раз редактировалось Titanus; 06.03.2011 в 01:02.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\GOUB9X7D\game[1].exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\winwyo32.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\winwyo32.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\GOUB9X7D\game[1].exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
сделал. Винлогон по прежнему грузит проц.
Пардон, логи забыл.
Последний раз редактировалось Titanus; 06.03.2011 в 01:02.
-
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Проверьте наличие файла sfcfiles.dll в папке system32
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
sfcfiles.dll в папке остался
Карантин прислал.
Логи сделал.
Винлогон до сих пор грузит проц, и лишний svchost тоже висит в процессе.
Последний раз редактировалось Titanus; 06.03.2011 в 01:02.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%windir%\system32\sfcfiles.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Карантин прислал. Файл сохранён как 100524_011027_2010-05-24_4bf999c31bba9.zip
Размер файла 765730
MD5 b0672790a05dfe4763f952a899f68c3e
Логи сделал.
После перезагрузки (после выполнения скрипта) вылезла ошибка процесса winlogon и вылетел в синий экран с кракозябрами, даже код ошибки не смог прочитать. После принудительной перезагрузки ошибка больше не вылезала, winlogon опять на своём месте и грузит проц
Последний раз редактировалось Titanus; 06.03.2011 в 01:02.
-
Как и предполагалось, sfcfiles.dll тоже заражен
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Проверьте теперь наличие файла sfcfiles.dll в папке system32. Если не найдется, восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
скрипт выполнил. файла sfcfiles.dll в папке system32 нет, завтра попробую его восстановить.
PS А этот dll очень важен для системы?
И ещё, вы имеете представление что это был за вирус и что он делал? У меня у 2х программ ехе-шники пропали (Опера и USBGuard), хотя все остальные установочные файлы на месте остались... Я так понимаю восстановить их уже нельзя и придётся переустанавливать проги?
Последний раз редактировалось Titanus; 06.03.2011 в 01:02.
-
Сообщение от
Titanus
Я так понимаю восстановить их уже нельзя и придётся переустанавливать проги?
Да, переустановите
Что сейчас с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
sfcfiles.dll ещё не восстановил, но проблем больше не наблюдалось. Спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\local settings\temporary internet files\content.ie5\goub9x7d\game[1].exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.Botnetlog.126, BitDefender: Gen:Variant.Ursnif.8, AVAST4: Win32:Crypt-GIR [Drp] )
- c:\documents and settings\admin\главное меню\программы\автозагрузка\winwyo32.exe - Packed.Win32.Krap.ao ( DrWEB: Trojan.DownLoad1.60790, BitDefender: Gen:Variant.Ursnif.8, AVAST4: Win32:Crypt-GMU [Drp] )
- c:\program files\internet explorer\setupapi.dll - Trojan.Win32.BHO.agme
- c:\windows\system32\mssfc.dll - Trojan-Spy.Win32.Agent.bfvg
- c:\windows\system32\mssfc.dll - Trojan-Spy.Win32.Agent.bfvi
- c:\windows\system32\sfcfiles.dll - Trojan-Spy.Win32.Agent.bfvj ( AVAST4: Win32:Agent-OJW [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-