-
Junior Member
- Вес репутации
- 50
Нестабильная и медленная работа PC после заражения.
Доброго времени суток. Прежде всего прошу прощения за неинформативный заголовок. Но на это есть причины. Итак...
В начале PC был заражен фиш-программой из серии "Шли деньги - баннер пропадет". Он был успешно прибит. Затем руками удалил из автозагрузки распаковщик для троянца. Дополнительно система была протестированна CureIt. Но судя по всему в системе или до сих есть, или оставил свой след некий вредноносный код. Было отключено восстановление системы и руками заменен (судя по заголовку) модифицированный Explorer.exe
Система вроде как работает, но явно не так как раньше.
1.) Очень медленная загрузка и вход в домен. С момента логона до появления рабочего стола может пройти до 2-3 минут. Иногда Рабочий Стол и вовсе не появляется, пока не нажмешь CTRL+ALT+DEL.
2.) При открытии Моего Компьютера проиcходит зависание, но он все таки открывается.
3.) При попытке доступа на сетевой диск происходит зависание. Лечится выносом и перезапуском процесса Explorer.exe.
Логи указанные в Правилах прилагаются. Заранее благодарен. Спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 50
P.S. Запустить SFC не удается.
Код:
Защита файлов Windows не смогла запустить сканирование защищенных системных файлов.
Код ошибки: 0x000006ba [Сервер RPC недоступен.].
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи АВЗ
- Сделайте лог Гмер
-
-
Junior Member
- Вес репутации
- 50
Спасибо за ответ. И так...
Все выполнил. Прикрепляю файл quarantine.zip
С grem выходит странная вещь. При начальном скане вылезает окошко с надписью, что мол не хотите ли Full Scan. Если его запустить, то при сканировании службы zwopdd.sys вывыливается BSOD и в перезагрузку. Тем не мение вот лог от быстрого скана.
Последний раз редактировалось pig; 24.08.2010 в 14:14.
Причина: Карантин в теме неуместен. Загрузите правильно
-
Сообщение от
Olejah
- Повторите логи АВЗ
А как с этим?
-
-
Junior Member
- Вес репутации
- 50
Прошу прощения. В спешке ошибся и неправильно загрузил Карантин.
Сделал как надо. Результат:
Код:
Файл сохранён как 100824_142639_quarantine_4c739e5fe8278.zip
Размер файла 6867
MD5 cdaa062133ea9237bbcafee177938665
А что имеется в виду? Я не совсем понял, честно говоря.
-
Нужно сделать новые логи АВЗ - virusinfo_syscheck.zip и virusinfo_syscure.zip
-
-
Junior Member
- Вес репутации
- 50
-
Скачайте "OSAM" Online Solutions Autorun Manager. В меню драйверов правой кнопкой по zwopdd.sys и выберите "Turn Run Off". Перезагрузку подтвердите.
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\Drivers\zwopdd.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\zwopdd.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи АВЗ
-
-
Junior Member
- Вес репутации
- 50
Две новости. Одна хорошая и одна плохая. Начну с плохой.
Перед OSAM попробывал Autoruns и Starter. В них zwopdd.sys не видно. В OSAM видно. Спасибо за совет. Возьму на вооружение.
Выполнил все скрипты и обязательно их залью. А вот с самим файлом zwopdd.sys проблема. Короче я его похерил. Точнее не я а Avira. Я совсем про нее забыл и не отключил и она этот файл и прибила. Судя по всему он сам себя уже не защищал. Приношу извинения за то, что не смог помочь.
А хорошая новость в том, что все вроде нормально. Искреннее спасибо Olejah и вообще всему VirusInfo ! Низкий поклон. Хотя может это еще и не все... (тьфу-тьфу-тьфу).
P.S. Нескромный вопрос... Что посоветуете для защиты? Avira пропустила этот код и я почему то уверен, что и другие AV сделали бы так же. Видно проблемы у них с rootkit-ами (если это был он). Спасибо!
-
В логах никаких угроз не вижу. Жалоб точно никаких нету?
Для защиты советуем почитать книгу, автором которой является координатор проекта ВирусИнфо - Безопасный Интернет. Универсальная защита для Windows ME - Vista, там рассказывается всё, о безопасной настройке системы.
Добавлено через 1 минуту
Рекомендуем также - обновить - Internet Explorer v7.00 до восьмой версии, даже если Вы им не пользуетесь
- Обновить все продукты от Adobe с официального сайта.
Последний раз редактировалось olejah; 25.08.2010 в 13:01.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 50
Извиняюсь за задержку с ответом - дела насущные...
Спасибо за инфу! А так да, жалоб нет. Еще раз спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.caz ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Generic.4672676, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )
-