Браузеры после вируса

**Fqyehh** · 06.08.2010, 10:11

Перейдем сразу к сути проблемы,
Попался однажды на вирус "вымогатель", который требует отправить смс.
Вроде бы благополучно избавился от него, введя код, НО перестали работать некоторый важные проги, в том числе и браузеры (Опера, мозилла, IE) (работает только Google chrome, с которого я сейчас и пишу) Возможно проблема в том, что после ввода кода, я запустил проверку антивирусом, и он как морской пехотинец, вырезал в одиночку около 20 (возможно важных)файлов в папке Windows.
Логи имеются.

PS. Я новичок на данных форумах, поэтому прошу объяснить что происходит внятно и "по слогам"
PSS. Если написал что то неправильно, просьба строго не судить и поправить меня.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**olejah** · 06.08.2010, 10:25

virusinfo_cure.zip - это карантин, уберите из вложений

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Папа\Local Settings\Temp\~DF8C61.tmp','');
 QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
 QuarantineFile('C:\WINDOWS\system32\nldk.yxo','');
 DeleteFile('C:\WINDOWS\system32\nldk.yxo');
 DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
 DeleteFile('C:\Documents and Settings\Папа\Local Settings\Temp\~DF8C61.tmp');   
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Обновите базы

- Повторите логи virusinfo_syscure.zip и virusinfo_syscheck.zip

**Fqyehh** · 06.08.2010, 12:47

Сделал всё как вы просили

**olejah** · 06.08.2010, 12:53

Сделайте лог MBAM

**Fqyehh** · 06.08.2010, 13:49

Обязательно делать полное сканирование, да? Просто с такой скоростью скана, я выложу логи только к завтрашнему дню) уже пол часа стоит и проверил только 100к объектов

**olejah** · 06.08.2010, 13:51

Обычно ему нескольких часов максимум хватает, лучше подождать. Без лога MBAM есть вероятность упустить что-либо.

**Fqyehh** · 06.08.2010, 15:03

Вообщем он закончил, нашел 34 вируса. В том числе и прога AVZ) Вопрос: их всех удалять или оставить?

**olejah** · 06.08.2010, 15:04

Просто прикрепите лог к следующему сообщению, удалять не надо пока ничего.

**Fqyehh** · 06.08.2010, 15:09

Вот. Ничего не удалил.

**Fqyehh** · 06.08.2010, 15:26

и тишина)

**olejah** · 06.08.2010, 15:34

Удалите в MBAM -

Код:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{b87b54f6-7cd5-45b2-b873-3f95c558768a} (Trojan.BHO) -> Not selected for removal.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Not selected for removal.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Not selected for removal.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> Not selected for removal.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> Not selected for removal.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Not selected for removal.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Not selected for removal.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> Not selected for removal.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> Not selected for removal.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Not selected for removal.

Зараженные параметры в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> Not selected for removal.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Not selected for removal.

Зараженные файлы:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Not selected for removal.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Not selected for removal.
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> Not selected for removal.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> Not selected for removal.
C:\Documents and Settings\Proffi\Local Settings\Temp\mscass.exe (Trojan.Agent) -> Not selected for removal.

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then
 begin             
 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');      
 QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');     
 DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
 end else     
 AddToLog('dllcache\sfcfiles.dll does not exist');     
 SaveLog(GetAVZDirectory + 'avz.log');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Файл avz.log из папки АВЗ прикрепите к следующему сообщению.

**Fqyehh** · 06.08.2010, 15:44

А можно как то открыть историю в МВАМ? Просто комп перезагружал и само собой этот список, где выделять зараженные файлы пропал. Или подскажите как их удалить вручную)

**olejah** · 06.08.2010, 15:51

Вам всё равно бы пришлось лог повторять, поэтому давайте так - сначала выполните скрипт в АВЗ, закачайте карантин, прикрепите файл avz.log из папки АВЗ к следующему сообщению, потом ещё скан MBAM и там удалите всё что я написал.

**Fqyehh** · 06.08.2010, 16:03

Карантин - выходит пустой архив.

**olejah** · 06.08.2010, 16:12

Возьмите файл у меня из вложений, распакуйте и поместите в папку C:\WINDOWS\System32\dllcache, после чего опять выполните скрипт в АВЗ из сообщения №11, и опять же - прикрепите файл avz.log из папки АВЗ к следующему сообщению

**Fqyehh** · 06.08.2010, 16:21

Всё, нашел. Сейчас выложу

**olejah** · 06.08.2010, 16:26

Поместите в любое, удобное для Вас место, но напишите сюда полный путь - я поправлю скрипт.

**Fqyehh** · 06.08.2010, 16:33

Спасибо, но я понял уже в чем была моя ошибка)
Вот

**olejah** · 06.08.2010, 16:36

Так, с этим разобрались. Теперь заключительная часть - новый лог MBAM. Не забудьте -

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

**Fqyehh** · 06.08.2010, 16:38

Эхх.. он так медленно грузит) ну ок, ща будет)

Браузеры после вируса (заявка № 84714)

Опции темы

Браузеры после вируса

Похожие темы

из-за вируса не работаю браузеры.

Из-за вируса не открываются браузеры

После вируса не работают браузеры, а торент качает

После вируса не запускабтся браузеры

Перестали работать браузеры после SMS вируса

Ваши права в разделе