-
Junior Member
- Вес репутации
- 53
Не запускается NOD32 и HouseCall
Добрый день.
Подцепил какую-то дрянь. Сначала перестал запускаться антивирус (НОД32) и открываться сайты разных антивирусных компаний. Кое-как с помощью cureit удалил несколько вирусов. Также очистил таблицу статической маршрутизации с помощью команды "route -f". Сайты стали открываться, но НОД32 все равно не запускается, HouseCall запускается, но в процессе запуска зависает.
Кроме того периодически выскакивает сообщение "iexplore.exe - обнаружена ошибка. Приложение будет закрыто...". Попробовал переименовывать и удалять файл iexplore.exe - через несколько секунд он автоматически создается заново. Кстати несколько вирусов было обнаружено именно в папке Temporary Internet Files, причем я никогда не использую Internet Explorer на этом компьютере.
Дальнешая проверка с помощью CureIt ничего не находит. Решил обратиться за помощью, согласно правилам форума.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\bqnsvfa.dll','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 53
скрипты выполнил, карантин выслал.
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\bqnsvfa.dll
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\bqnsvfa.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 53
- Выполнил все скрипты. NOD32 начал запускаться.
- Прислал карантин.
- Создал новые логи, прикладываю.
п.с. фальшивый файл iexplore.exe (91Кб) продолжает автоматически создаваться в папке C:\Program Files\Internet Explorer , но сообщение об ошибке вроде бы не выскакивает.
-
-
-
Junior Member
- Вес репутации
- 53
-
-
-
Junior Member
- Вес репутации
- 53
Удалил все, что нашла программа МВАМ, после этого просканировал систему НОДом, он нашел несклько вирусов Kryptik и удалил их.
Внешне все симптомы пропали кроме загадочного файла iexplore.exe который продолжает создаваться, если его прибить.
п.с. Пробовал для профилактики запустить HouseCall - он зависает в процессе запуска.
-
-
-
Junior Member
- Вес репутации
- 53
Выполнил сканирование с МВАМ, уязвимостей и вредоносных программ не найдено, прилагаю лог.
Из сохранившихся симптомов найден еще один - компьютер невероятно сильно тормозит если подключиться к сети, все ресурсы забивает процесс svchost.exe
-
-
-
Junior Member
- Вес репутации
- 53
Спасибо за помощь.
Надеюсь проблема решена, надо как следует потестировать компьютер.
п.с. выяснил что на других компьютерах пресловутый iexplore.exe тоже автоматически создается при удалении, так что, видимо это так задумано.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\bqnsvfa.dll - Trojan-Spy.Win32.Ardamax.hjc ( DrWEB: Trojan.SpyBot.20, BitDefender: Gen:Variant.Feedel.2, NOD32: Win32/Spy.Hookit.C trojan, AVAST4: Win32:Hookit-D [Spy] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-