Рекламный вирус

**Шапельский Александр** · 30.12.2009, 00:23

Сделайте лог MBAM

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Tipster** · 30.12.2009, 00:45

как оказалось, MBAM также не реагирует на просьбы запуститься..в безопасном режиме всё аналогично..
причём программа Spybot - Search & Destroy от них же работает
что-то ещё можно поделать, или только снос? просто не хотелось бы этого совсем

**Шапельский Александр** · 30.12.2009, 01:05

Делаем так: сканируем ПК Куреит (др.Веб), затем AVPTool. Потом пробуем сделать лог Hijack.

**Tipster** · 30.12.2009, 13:39

В итоге Куреит ничего не нашёл, AVPTool кое-что нашёл, что-то удалил, но изменений никаких не произошло..
Вот из отчёта AVPTool всё что касается каких-то вирусов, может хоть какую-то зацепку даст:

30.12.2009 12:34:41 Обнаружено: Trojan.BAT.Agent.vf C:\WINDOWS\system32\fjhdyfhsn.bat
30.12.2009 12:35:11 Обнаружено: Trojan.Win32.Patched.fr C:\WINDOWS\system32\sfcfiles.bak
30.12.2009 12:35:33 Невозможно удалить: Trojan.BAT.Agent.vf C:\WINDOWS\system32\fjhdyfhsn.bat Объект не найден
30.12.2009 12:35:37 Удалено: Trojan.Win32.Patched.fr C:\WINDOWS\system32\sfcfiles.bak

Добавлено через 19 минут

Собственно говоря, нашёл ещё IceSword вот такие файлы:
C:\WINDOWS\ServicePackFiles\i386\sfcfiles.dll
C:\WINDOWS\$NtServicePackUninstall$\sfcfiles.dll
Подозреваю, что они тоже как то относятся к трояну?

**Шапельский Александр** · 30.12.2009, 22:03

Cделать лог Hijack сможете?

**Tipster** · 30.12.2009, 22:20

Сообщение от shapel

Cделать лог Hijack сможете?

нет..хайджек и MBAM не реагируют на просьбы запуститься..
через msconfig вижу что в автозагрузке сидит
[HKLM\~\startupfolder\C:^Documents and Settings^йцу^Главное меню^Программы^Автозагрузка^siszyd32.exe

**Шапельский Александр** · 30.12.2009, 22:25

Логи АВЗ сделайте.

**Tipster** · 30.12.2009, 23:10

сделал...

**Шапельский Александр** · 30.12.2009, 23:25

Отключите восстановление системы!
Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(1);
Executerepair(6);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

Пробуйте сделать лог MBAM и Hijack

**Tipster** · 30.12.2009, 23:34

выполнил, толку нет, какая-то гадость висит видимо в памяти и упорно блокирует запуск

**Шапельский Александр** · 30.12.2009, 23:52

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
  RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Пробуйте сделать логи MBAM и Hijack

**Tipster** · 31.12.2009, 00:05

выполнил
карантин:
Файл сохранён как 091231_000429_virus_4b3bc05dd6b41.zip
к моему дикому сожалению просто, хайджек продолжает молчать в ответ на просьбы запуститься...

**Шапельский Александр** · 31.12.2009, 00:24

Карантин пуст. Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
 BC_ImportAll;
ExecuteSysClean;
Executerepair(12);
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

**Tipster** · 31.12.2009, 00:37

наверно, я вас уже достал, ну уж очень надо поправить здоровье ПК...
скрипт выполнил, изменений в работе нет
карантин прикрепил:
Файл сохранён как 091231_003702_virus_4b3bc7febece4.zip

**Шапельский Александр** · 31.12.2009, 10:34

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
CopyFile('C:\WINDOWS\ServicePackFiles\i386\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
RebootWindows(true);
end.

Пробуйте сделать логи MBAM и Hijack

**Tipster** · 31.12.2009, 10:53

сделано, изменений нет ((

**Шапельский Александр** · 31.12.2009, 12:07

Сообщение от Tipster

через msconfig вижу что в автозагрузке сидит
[HKLM\~\startupfolder\C:^Documents and Settings^йцу^Главное меню^Программы^Автозагрузка^siszyd32.exe

Попробуем убрать. Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('%Userprofile%\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пробуйте сделать логи MBAM и Hijack

**Tipster** · 31.12.2009, 12:22

сделал, изменений нет, через msconfig всё равно вижу siszyd32.exe, правда галка снята, да и сам файл я найти не могу, удалял его IceSword какое-то время назад, но следы видимо остались...

**thyrex** · 31.12.2009, 12:26

Это только следы. Исправляются удалением записи в реестре. Где искать, увы, сейчас не подскажу

**Tipster** · 31.12.2009, 12:29

Сообщение от thyrex

Это только следы. Исправляются удалением записи в реестре. Где искать, увы, сейчас не подскажу

да я так понимаю, что для удаления следов надо запускать Хайджек, а это сделать никак не получается. любые антивирусные утилиты пожалуйста работают, но толку от них нет. А вот хайджек, мбам, да ещё я обнаружил WinSpy (хотел посмотреть им не прицепилось ли что-то к Winlogon) не реагируют никак..

Рекламный вирус (заявка № 64647)

Опции темы

Антивирусная помощь

Похожие темы

Рекламный вирус

рекламный вирус 2

рекламный вирус 1

Рекламный вирус

рекламный вирус

Метки для этой темы

Ваши права в разделе