Добрый день!
Помогите справиться с трояном(?) в sfc.sys.
При каждой перезагрузке NOD сообщает :
c:\windows\system32\drivers\sfc.sys
угроза Win/Agent.PHC trojan - очищен удалением, но появляется снова.
Добрый день!
Помогите справиться с трояном(?) в sfc.sys.
При каждой перезагрузке NOD сообщает :
c:\windows\system32\drivers\sfc.sys
угроза Win/Agent.PHC trojan - очищен удалением, но появляется снова.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; SetAVZPMStatus(True); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог GMER
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
карантин отправил
Файл сохранён как 090804_175624_virus1_4a783e08ea0ab.zip
Размер файла 17269
MD5 513af26abb1c28a80c4bcc916381c859
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:R3 - URLSearchHook: (no name) - {E9598854-2569-48DF-9755-1D330BD50EDE} - (no file) F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe before1main
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('htiul'); StopService('systemntmi'); QuarantineFile('C:\WINDOWS\system32\sbjla.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\WINDOWS\system32\sbjla.dll'); RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services','htiul'); RegKeyParamDel('HKLM','SYSTEM\ControlSet001\Services','htiul'); RegKeyParamDel('HKLM','SYSTEM\ControlSet003\Services','htiul'); RegKeyParamDel('HKLM','SYSTEM\ControlSet004\Services','htiul'); DeleteService('systemntmi'); DeleteService('htiul'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(13); BC_DeleteSvc('systemntmi'); BC_DeleteSvc('htiul'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог GMER
- Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
карантин отправил
Файл сохранён как 090804_214311_virus3_4a78732fa166e.zip
Размер файла 17275
MD5 e233cedaad4d9ee7c0b1e526adf1acb3
nod ничего не находит, но Windows не загружается в безопасном режиме
Код:
скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите.Код:gmer.exe -del service htiul gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\htiul" gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\htiul" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\htiul" gmer.exe -del reg "HKLM\SYSTEM\ControlSet04\Services\htiul" gmer.exe -del file "C:\WINDOWS\system32\sbjla.dll" gmer.exe -reboot
После перезагрузки:
- Выполните скрипт
После перезагрузки:Код:begin SetAVZGuardStatus(True); QuarantineFile('spil.sys',''); BC_ImportAll; ExecuteRepair(10); BC_Activate; RebootWindows(true); end.
- Сделайте лог GMER
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
карантин отправил
Файл сохранён как 090805_011358_virus4_4a78a4964a1a8.zip
Размер файла 17221
MD5 a04e9a9aa36caf4b9c2777a9c1809e38
вроде все работает, вход через безопасный режим тоже.
надеюсь, что это все! спасибо!
В логах ничего подозрительного.
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 20
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) segr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.