-
Junior Member
- Вес репутации
- 58
Многочисленные ТРОЯНЫ и сбои IE и запуска программ
Запустил неизвестный файл. В результате:
- снесло антивирус ESET напрочь;
- нестабильное поведение программ: IE - пропадание/сворачивание окна, при запуске других программ сворачиваются и не запускаются и т.п.;
- не отключается восстановление системы.
После лечения осталось третье!
Последний раз редактировалось Gadzilla; 23.03.2011 в 10:23.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
Код:
procedure FixServiceStart(ServiceName:string;);
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName) then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName);
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\' + ServiceName + ' исправлено на оригинальное.');
if (RegKeyIntParamRead('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName, 'Start') = 0) then
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\' + ServiceName,'Start', 2);
AddToLog('Тип запуска службы ' + ServiceName + ' переведен в режим Авто.');
end;
end;
end;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\l1rezerv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\srvkp.sys','');
QuarantineFile('C:\WINDOWS\sysdriver32.exe','');
DeleteService('srvsysdriver32');
DeleteService('srviecheck');
QuarantineFile('c:\windows\iecheck.exe','');
TerminateProcessByName('c:\windows\iecheck.exe');
DeleteFile('c:\windows\iecheck.exe');
DeleteFile('C:\WINDOWS\sysdriver32.exe');
DeleteFile('C:\WINDOWS\l1rezerv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','l1rezerv.exe');
DeleteFile('F:\autorun.inf');
QuarantineFile('C:\WINDOWS\killwindtitle.exe','');
QuarantineFile('C:\WINDOWS\sysdriver32.exe','');
DeleteFile('C:\WINDOWS\sysdriver32.exe');
FixServiceStart('wscsvc');
SaveLog(GetAVZDirectory+'LOG\avz.log');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 58
Восстановление Системы
Этот пункт отсутствует как класс
Раньше был...)))
Возможно ли отключить его через Администрирование?
Добавлено через 48 минут
Сообщение от
Gadzilla
Этот пункт отсутствует как класс
Раньше был...)))
Возможно ли отключить его через Администрирование?
Ура! Разобрался! Верно??
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
RestoreStatus-0
DisableSR-1
Последний раз редактировалось Gadzilla; 23.03.2011 в 10:23.
-
1.Профиксите в HijackThis
Код:
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
2.Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\drivers\srvkp.sys','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 58
Какой результат диагностики карантина?
-
файл чистый
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 58
Сбои при загрузке сайтов!!!
Не грузится сайт www.vkontakte.ru
Пробовал IE, Maxthon и Mazilla
-
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Gadzilla; 23.03.2011 в 10:23.
-
Junior Member
- Вес репутации
- 58
-
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
ExecuteRepair(13);
RebootWindows(true);
end.
- Сделайте лог MBAM
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 33
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\iecheck.exe - Trojan.Win32.VkHost.cso ( DrWEB: Trojan.KillProc.4440, BitDefender: Generic.Malware.SFHYVdWkg.5AA66DB7, AVAST4: Win32:Delf-QBF [Trj] )
- \\quarantine\\index.php - Trojan.HTML.Agent.ap ( DrWEB: archive: archive: VBS.PackFor, BitDefender: Trojan.JS.PYC )
- \\quarantine\\index[1].htm - Trojan.HTML.Agent.ap ( DrWEB: archive: VBS.PackFor, BitDefender: Trojan.JS.PYC, AVAST4: JS:Packed-X [Trj] )
- \\quarantine\\killwindtitle.exe - Trojan.Win32.Scar.dhxa ( DrWEB: Trojan.MulDrop1.57842, BitDefender: DeepScan:Generic.Malware.SP!BVPkTkg.6B8B14EA, NOD32: Win32/KillAV.NKK trojan, AVAST4: Win32:Malware-gen )
- \\quarantine\\l1rezerv.exe - Trojan.Win32.Scar.djln ( DrWEB: Trojan.KillProc.4306, BitDefender: Trojan.Generic.5380680, NOD32: Win32/TrojanDownloader.Delf.QFH trojan, AVAST4: Win32:Delf-QBF [Trj] )
- \\quarantine\\slavamur.zip.exe - Trojan-PSW.Win32.VKont.apm ( DrWEB: Trojan.DownLoader1.55943, BitDefender: Trojan.Generic.KD.113039, NOD32: Win32/Delf.PTD trojan, AVAST4: Win32:Downloader-FFG [Trj] )
- \\quarantine\\sysdriver32.exe - Backdoor.Win32.Delf.xyl ( DrWEB: Trojan.KillProc.4345, BitDefender: DeepScan:Generic.Malware.SFTkg.88903B92, NOD32: Win32/TrojanDownloader.Delf.QCY trojan, AVAST4: Win32:Delf-QBF [Trj] )
- \\quarantine\\sysdriver32_.exe - Backdoor.Win32.Delf.xyl ( DrWEB: Trojan.KillProc.4345, BitDefender: DeepScan:Generic.Malware.SFTkg.88903B92, NOD32: Win32/TrojanDownloader.Delf.QCY trojan, AVAST4: Win32:Delf-QBF [Trj] )
- \\quarantine\\tray_tmp.exe - Trojan-PSW.Win32.VKont.apm ( DrWEB: Trojan.DownLoader1.55943, BitDefender: Trojan.Generic.KD.113039, NOD32: Win32/Delf.PTD trojan, AVAST4: Win32:Downloader-FFG [Trj] )
- \\quarantine\\217061.exe - Trojan.Win32.Scar.djln ( DrWEB: Trojan.KillProc.4306, BitDefender: Trojan.Generic.5380680, NOD32: Win32/TrojanDownloader.Delf.QFH trojan, AVAST4: Win32:Delf-QBF [Trj] )
- \\quarantine\\4221310.exe - Trojan.Win32.Scar.djln ( DrWEB: Trojan.KillProc.4306, BitDefender: Trojan.Generic.5380680, NOD32: Win32/TrojanDownloader.Delf.QFH trojan, AVAST4: Win32:Delf-QBF [Trj] )
- \\quarantine\\7165571.exe - Trojan.Win32.Zapchast.crh ( DrWEB: Trojan.Siggen2.11644, BitDefender: Gen:Variant.Zusy.Elzob.5495, AVAST4: Win32:Malware-gen )
- \\quarantine\\7366030.exe - Trojan.Win32.Agent.gjja ( DrWEB: Trojan.MulDrop1.57516, BitDefender: Trojan.Generic.5494203, NOD32: Win32/DisableSR.A trojan, AVAST4: Win32:Malware-gen )
- \\quarantine\\94802291.exe - Backdoor.Win32.Delf.xyl ( DrWEB: Trojan.KillProc.4345, BitDefender: DeepScan:Generic.Malware.SFTkg.88903B92, NOD32: Win32/TrojanDownloader.Delf.QCY trojan, AVAST4: Win32:Delf-QBF [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-