Не работают браузеры.
Не работают браузеры. При запуске приложений выводит сообщения отказ в праве доступа,или запускаются со второго раза. В папке Opera появились новые файлы 0.26974925692427576.exe, setupapi.dll.
При перезагрузке или выключении в синем окне пишет ошибки и начинает скидывать дамп памяти на диск.
Последний раз редактировалось nord34; 08.08.2010 в 01:50.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Логи сделаны старой версией AVZ. Загрузите актуальную и переделайте
поправил
А обновить базы?
обновил
Загрузитесь в безопасном режиме
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\syspanel32.exe',''); QuarantineFile('C:\WINDOWS\system32\xwhqfg.exe',''); QuarantineFile('C:\WINDOWS\system32\e9cec12e.exe',''); QuarantineFile('C:\Documents and Settings\Igor\Главное меню\Программы\Автозагрузка\monoca32.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\krhok.sys',''); DeleteService('abp470n5'); QuarantineFile('C:\DOCUME~1\Igor\LOCALS~1\Temp\ALSysIO.sys',''); DeleteService('ALSysIO'); QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); DeleteFile('C:\DOCUME~1\Igor\LOCALS~1\Temp\ALSysIO.sys'); DeleteFileMask('C:\DOCUME~1\Igor\LOCALS~1\Temp','*.*',true); DeleteFile('C:\WINDOWS\system32\drivers\krhok.sys'); DeleteFile('C:\Documents and Settings\Igor\Главное меню\Программы\Автозагрузка\monoca32.exe'); DeleteFile('C:\WINDOWS\system32\e9cec12e.exe'); DeleteFile('C:\WINDOWS\system32\xwhqfg.exe'); DeleteFile('C:\WINDOWS\system32\syspanel32.exe'); RenameFile('C:\WINDOWS\system32\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.bak'); CopyFile('C:\WINDOWS\system32\dllcache\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.dll'); DeleteFile('C:\WINDOWS\system32\sfcfiles.bak'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Сделайте новые логи AVZ
Последний раз редактировалось Никита Соловьев; 08.08.2010 в 02:00. Причина: up
Воити в безопасный режим не получается, может потому что установлен загрузчик на две О.С.
Запустил WEB CURE, нашел зараженные в system32 - syspanel32.exe sfcfiles.bak, в папках с браузерами setupapi.dll , в документах подозрительный svchost.exe, все удалил. После перезагрузки они больше не появились.
Последний раз редактировалось nord34; 08.08.2010 в 21:36.
Сейчас вроде все работает нормально.
Ещё не всё
Загрузите ПК в безопасном режиме
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\sfcfiles.bak',''); QuarantineFile('C:\WINDOWS\system32\syspanel32.exe',''); QuarantineFile('C:\WINDOWS\system32\fcfc5012.exe',''); QuarantineFile('C:\Documents and Settings\Igor\Application Data\Microsoft\svchost.exe',''); QuarantineFile('C:\Documents and Settings\Igor\Главное меню\Программы\Автозагрузка\monoca32.exe',''); DeleteFile('C:\Documents and Settings\Igor\Главное меню\Программы\Автозагрузка\monoca32.exe'); DeleteFile('C:\Documents and Settings\Igor\Application Data\Microsoft\svchost.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe'); DeleteFile('C:\WINDOWS\system32\fcfc5012.exe'); DeleteFile('C:\WINDOWS\system32\syspanel32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Panel'); DeleteFile('C:\WINDOWS\system32\sfcfiles.bak'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам
Сделайте новые логи
войти в безопасный не получается, грузит безопасный и сбрасывается.
Последний раз редактировалось nord34; 08.08.2010 в 18:56.
Выполните проверку Kaspersky Live CD
Выполнил скрипт в безопасном режиме. Может как то обойти Kaspercky Live CD, с мобильным интернетом долго его собирать придется. Есть старый жесткий диск с таким же рабочим Windows.
Получилось? Тогда live CD не нуженСообщение от nord34
В логах плохого не увидел. Что с проблемой?
Да проблем не вижу, а что это было, скрипт какой -то Opera в инете поймала ?
Большое спасибо за помощь !!!
Последний раз редактировалось nord34; 08.08.2010 в 21:34.
Троянская программа, популярна сейчас
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sfcfiles.bak - Trojan-Spy.Win32.Agent.biki ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Trojan.Heur.LP.Fr7@a4AKiKf )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) nord34, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
