Показано с 1 по 19 из 19.

Аваст блокирует Руткит sfc.sys (заявка № 74857)

  1. #1
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    25

    Thumbs up Аваст блокирует Руткит sfc.sys

    Доброе время суток, господа хелперы!
    Помогите, чем можете. Предыстория проблемммы - при запуске любых ехе аваст стал блокировать некий URL, я решил откатить систему, на более ранний период (раньше бывали похожие проблеммы и успешно решались таким способом), но оказалось, что точки восстановления отсутствуют, хотя система восстановления была включена. Как раз апдейтом загрузилось мартовское средство УВП от майкрософт и я им воспользовался - удалил один файл(отчета нет), проблема усугубилась - система стала виснуть, спасал рестарт, при подлюченном интернете невозможно было запустить ни IE7 ни Opera, хотя в БР все летало отлично. Нашел ваш форум, выполнил рекомендации. Теперь почти все отлично, только при запуске Аваст блокирует Руткит sfc.sys и по прежнему при подключенном инете при запуске IE7 он тут же выключается(в автономном режиме работает), других лагов не замеченно.
    Ссори за много букв. Логи прилагаю.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000075-0000-0010-8000-00AA00389B71}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{10003000-1000-0000-1000-000000000000}');
     DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
     QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\3669d174.exe','');
     DeleteService('jnv4_mib');
     QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\jnv4_mib.sys','');
     DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\jnv4_mib.sys');
     DeleteFile('C:\WINDOWS\system32\3669d174.exe');
     DeleteFile('C:\WINDOWS\svchost.exe');
     DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    25
    Новые логи
    По карантину не уверен, то ли я прислал?
    Вложения Вложения

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Цитата Сообщение от SAL_AVAT Посмотреть сообщение
    По карантину не уверен, то ли я прислал?
    Не то. Но там тоже зверек
    Прочтите Приложение 3 правил

    Выполните скрипт в AVZ
    Код:
    begin
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
    DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполните скрипт в AVZ
    Код:
    begin
    QuarantineFile('C:\Recycled\Q330995.exe','');
    end.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    25
    Ура! Аваст замолчал, но IE все равно выключается, может это уже что с настройками, брадмауером?

    Сори второй код не видел , карантин прислал до его выполнения , переделаю

    Код:
    begin
    QuarantineFile('C:\Recycled\Q330995.exe','');
    end.
    AVZ в протоколе пишет про ошибку прямого чтения карантина
    Заархивировал новый virus.zip по правилам, высылаю
    Последний раз редактировалось SAL_AVAT; 30.03.2010 в 00:05.

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    C:\Recycled\Q330995.exe поищите и, если найдется, запакуйте с паролем virus и пришлите по красной ссылке

    Сделайте такой лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    25
    Цитата Сообщение от thyrex Посмотреть сообщение
    C:\Recycled\Q330995.exeQ330995.exe поищите и, если найдется, запакуйте с паролем virus и пришлите по красной ссылке

    Сделайте такой лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Файл Q330995 поиск не нашел
    Лог от проверки Malwarebytes Antimalware прилагаю
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    удалите в MBAM
    Код:
    Заражено ключей реестра:
    HKEY_CLASSES_ROOT\connectionservices.connectionservices (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\connectionservices.connectionservices.1 (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{8cb0d898-a6a2-48c3-bbd7-862f85b18d46} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Typelib\{431d251c-b43a-47d7-b4f4-07a101b432d6} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Trojan.BHO) -> No action taken.
    
    Заражено значений реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    
    Заражено файлов:
    C:\Documents and Settings\user\Desktop\CVgs141\vgsmod141.exe (Trojan.Bancos) -> No action taken.
    C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
    C:\Documents and Settings\user\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
    C:\WINDOWS\desktop.html (Trojan.FakeAlert) -> No action taken.
    C:\WINDOWS\Downloaded Program Files\egdhtml_pack.inf (Adware.EGDAccess) -> No action taken.
    C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
    C:\WINDOWS\tmlpcert2005 (Adware.EGDAccess) -> No action taken.

  10. #9
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    25
    Все удалил как посоветовали, но что то выключает IE, иногда страница успевает загрузиться, в режиме без надстроек тоже не работает, работает только в автономном режиме до подключения интернета.

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Такой лог сделайте http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    25
    Все сделал, вот лог
    Вложения Вложения

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    C:\WINDOWS\System32\sfcfiles.dll восстановите с диcтрибутива http://virusinfo.info/showthread.php?t=51654

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\huadio.tmp
    mslaugh.exe
    
    Driver::
    autorun
    
    Folder::
    
    Registry::
    [HKEY_LOCALE_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "Windows Automation"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    25
    Выполнил, прикрепил новый лог
    Вложения Вложения

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Что с проблемой на данный момент?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    25
    Все отлично работает кроме IE7 - запускается и сразу пропадает

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Установите Internet Explorer 8
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    25
    К сожалению ни русская ни английские версии не устанавливаются, чтож буду пользоваться Opera.
    Огромное спасибо за оказанную помощь, главная проблемма решена, спасибо!!!

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,531
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.641, AVAST4: Win32:SFCPatch [Trj] )


  • Уважаемый(ая) SAL_AVAT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Аваст часто блокирует ceryti.in
      От Евгений Караев в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.06.2012, 20:10
    2. Аваст блокирует вредоносный сайт
      От оксана91 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 11.03.2012, 15:25
    3. Аваст блокирует вредоносный сайт
      От igor.cononow в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 26.04.2011, 16:00
    4. Аваст блокирует работу Internet Explorer
      От дсл в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.03.2011, 22:55
    5. Аваст орет,что обнаружен Руткит (заявка №2264)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 11.02.2010, 03:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01066 seconds with 23 queries