-
Junior Member
- Вес репутации
- 53
Вирус блокирует работу системы
Здравствуйте!
Помогите поймать зловреда!!!
сведения о системе:
Windows XP Prof sp3, антивирусник NOD32 v4
Произошло следующее:
сначала упала мозилла, потом перестал обновляться антивирусник, попробовал переустановить не удалось, вышла ошибка записи системного файла(не помню в какую папку), при входе в систему explorer.exe завершает свою работу, потом правда перезапускается...., так же не могу скачать и запустить не одну антивирусную утилиту. AVZ запустил только после завершения процесса explorer.exe, прилагаю логи.
Заранее спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Скачайте новую версию AVZ ! http://z-oleg.com/avz4.zip
Обновите базы AVZ.
Если базы не обновляются через меню Файл, скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\e95a1ee3.exe,c:\windows\system32\silrpxp.exe,c:\windows\system32\xqeqflf.exe,c:\windows\system32\vverdnp.exe,c:\windows\system32\qvxlzu.exe,c:\windows\system32\xviwuc.exe,c:\windows\system32\xfehfnp.exe,
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ipse32.exe','');
QuarantineFile('c:\windows\system32\xqeqflf.exe','');
QuarantineFile('c:\windows\system32\xfehfnp.exe','');
QuarantineFile('c:\windows\system32\vverdnp.exe','');
QuarantineFile('c:\windows\system32\silrpxp.exe','');
QuarantineFile('c:\windows\system32\qvxlzu.exe','');
QuarantineFile('c:\windows\system32\e95a1ee3.exe','');
DeleteFile('c:\windows\system32\e95a1ee3.exe');
DeleteFile('c:\windows\system32\qvxlzu.exe');
DeleteFile('c:\windows\system32\silrpxp.exe');
DeleteFile('c:\windows\system32\vverdnp.exe');
DeleteFile('c:\windows\system32\xfehfnp.exe');
DeleteFile('c:\windows\system32\xqeqflf.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ipse32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Запустите/включите антивирус/файрволл.
Подключите интернет.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите пункт "Диагностика" правил и приложите получившиеся логи в теме.
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
-
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ipse32.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\chkntfs.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\chkntfs.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ipse32.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes', 'routes');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Запустите/включите антивирус/файрволл.
Подключите интернет.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
В папке АВЗ появится папка Backup, в ней папка с именем текущей даты, в ней файл routes_<цыферки>.reg
Заархивируйте его и приложите здесь.
Повторите лог virusinfo_syscheck.zip и приложите в теме.
-
-
Junior Member
- Вес репутации
- 53
все сделал..
вот повтор и архив с циферками.
-
Еще почистим немного...
Выполните скрипт в AVZ:
Код:
begin
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes');
RegKeyCreate('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes');
end.
Это надо обновить до актуальной версии, даже если не используете:
Код:
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Более подозрительного не обнаружил.
Что сейчас с проблемами?
-
-
Junior Member
- Вес репутации
- 53
Давайте отложим до утра.
Сейчас не могу продолжить лечение, давайте отложим до утра.
Заранее благодарен.
-
Junior Member
- Вес репутации
- 53
Сейчас все работает, но
не могу загрузиться в безопасном режиме, не подскажите как исправить ситуацию.
-
Выполните скрипт в AVZ:
Код:
begin
ExecuteRepair(10);
RebootWindows(false);
end.
Компьютер перезагрузится.
Проверьте загрузку в безопасном режиме.
Что с предыдущими проблемами?
-
-
Junior Member
- Вес репутации
- 53
Nikkollo, прошу прощенье за столь поздний ответ, ОГРОМНОЕ ВАМ СПАСИБО!!!
Тему можно закрывать, ИЗЛЕЧЕНО!
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Извините, за не совсем уместный вопрос, но зачем?
-
Один из вирусов, которые у Вас были, является кейлоггером ко всему почему. Пароли могли уйти к злоумышленникам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\qvxlzu.exe - Backdoor.Win32.Shiz.alp ( DrWEB: Trojan.DownLoader1.35871, BitDefender: Trojan.Generic.KDV.63989, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\windows\\system32\\silrpxp.exe - Trojan.Win32.Jorik.Shiz.he ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.KDV.65012, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\\windows\\system32\\vverdnp.exe - Trojan.Win32.Jorik.Shiz.gs ( DrWEB: Trojan.DownLoader1.35607, BitDefender: Trojan.Generic.KDV.62048, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\windows\\system32\\xfehfnp.exe - Backdoor.Win32.Shiz.ams ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.KD.65254, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\xqeqflf.exe - Trojan.Win32.Jorik.Shiz.gs ( DrWEB: Trojan.DownLoader1.35607, BitDefender: Trojan.Generic.KDV.62048, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
-