-
Junior Member
- Вес репутации
- 50
Подозрение на вирус
Здравствуйте!
Подозреваю, что на моем компьютере поселился вирус, хотя ни один антивирус, которыми я проверял диски (AVP, NOD32, DrWEB) ничего не находят. Симптомы следующие:
1. На компьютере не активен диспетчер задач
2. При попытке зайти на какой-нибудь сайт в интернете ничего не загружается, при этом если открыты другие окна, то каждые ~5 секунд активным делается окно браузера, в котором ничего не грузится.
Согласно инструкции прикладываю логи утилит AVZ и HijackThis.
Прошу помочь в решении проблемы. Спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\442b371a.exe,C:\WINDOWS\system32\prdlje.exe,
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
QuarantineFile('C:\WINDOWS\system32\442b371a.exe','');
QuarantineFile('C:\WINDOWS\system32\prdlje.exe','');
QuarantineFile('C:\WINDOWS\system32\netprotdrvss','');
DeleteFile('C:\WINDOWS\system32\netprotdrvss');
DeleteFile('C:\WINDOWS\system32\prdlje.exe');
DeleteFile('C:\WINDOWS\system32\442b371a.exe');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(20);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Установлены ли у Вас браузеры firefox или opera?
-
-
Junior Member
- Вес репутации
- 50
Firefox и Opera на компьютере не установлены. Только Internet Explorer. Файл quarantine.zip после выполнения скриптов закачал по ссылке "Прислать запрошенный карантин" над первым сообщением этой темы.
-
-
-
Junior Member
- Вес репутации
- 50
Попытался снова загрузить файл quarantine.zip. В итоге: Ошибка загрузки. Данный файл уже был загружен. Я что то сделал не так?
-
Ваш карантин дошёл, спасибо, больше его загружать не надо. Повторите логи как в первом сообщении.
-
-
Junior Member
- Вес репутации
- 50
Уточните, пожалуйста, нужно логи сформировать заново и отправить Вам или повторить те файлы, которые я загружал утром?
-
Junior Member
- Вес репутации
- 50
Заново провел диагностику, сформировал логи. Высылаю.
-
Junior Member
- Вес репутации
- 50
Значит я сделал все правильно. Новые логи выслал в своем предыдущем сообщении.
-
-
-
Junior Member
- Вес репутации
- 50
Диспетчер задач неактивен. Доступ сайтов сейчас проверю, напишу.
-
Выполните скрипт в АВЗ -
Код:
begin
ExecuteRepair(11);
RebootWindows(true);
end.
- Проверьте диспетчер.
-
-
Junior Member
- Вес репутации
- 50
Диспетчер задач стал активен и доступен. В интернет по прежнему попасть не получается. Окна браузера подвисают, страницы не открываются.
-
-
-
Junior Member
- Вес репутации
- 50
Высылаю лог полного сканирования МВАМ
-
Удалите в МВАМ -
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pc health status (Trojan.LockScreen) -> No action taken.
Зараженные папки:
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Admin\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Admin\Application Data\jpsqqdoh.exe (Trojan.LockScreen) -> No action taken.
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\Debug\UserMode\explorer.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
-
-
Junior Member
- Вес репутации
- 50
Файл quarantine2.zip закачал.
-
-
-
Junior Member
- Вес репутации
- 50
-
-