Junior Member
Вес репутации
52
Аваст блокирует Руткит sfc.sys
Доброе время суток, господа хелперы!
Помогите, чем можете. Предыстория проблемммы - при запуске любых ехе аваст стал блокировать некий URL, я решил откатить систему, на более ранний период (раньше бывали похожие проблеммы и успешно решались таким способом), но оказалось, что точки восстановления отсутствуют, хотя система восстановления была включена. Как раз апдейтом загрузилось мартовское средство УВП от майкрософт и я им воспользовался - удалил один файл(отчета нет), проблема усугубилась - система стала виснуть, спасал рестарт, при подлюченном интернете невозможно было запустить ни IE7 ни Opera, хотя в БР все летало отлично. Нашел ваш форум, выполнил рекомендации. Теперь почти все отлично, только при запуске Аваст блокирует Руткит sfc.sys и по прежнему при подключенном инете при запуске IE7 он тут же выключается (в автономном режиме работает), других лагов не замеченно.
Ссори за много букв. Логи прилагаю.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000075-0000-0010-8000-00AA00389B71}');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{10003000-1000-0000-1000-000000000000}');
DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\3669d174.exe','');
DeleteService('jnv4_mib');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\jnv4_mib.sys','');
DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\jnv4_mib.sys');
DeleteFile('C:\WINDOWS\system32\3669d174.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
52
Новые логи
По карантину не уверен, то ли я прислал?
Вложения
Сообщение от
SAL_AVAT
По карантину не уверен, то ли я прислал?
Не то. Но там тоже зверек
Прочтите Приложение 3 правил
Выполните скрипт в AVZ
Код:
begin
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\Recycled\Q330995.exe','');
end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
Ура! Аваст замолчал, но IE все равно выключается, может это уже что с настройками, брадмауером?
Сори второй код не видел , карантин прислал до его выполнения , переделаю
Код:
begin
QuarantineFile('C:\Recycled\Q330995.exe','');
end.
AVZ в протоколе пишет про ошибку прямого чтения карантина
Заархивировал новый virus.zip по правилам, высылаю
Последний раз редактировалось SAL_AVAT; 30.03.2010 в 00:05 .
C:\Recycled\Q330995.exe поищите и, если найдется, запакуйте с паролем virus и пришлите по красной ссылке
Сделайте такой лог http://virusinfo.info/showpost.php?p=457118&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
Сообщение от
thyrex
Файл Q330995 поиск не нашел
Лог от проверки Malwarebytes Antimalware прилагаю
удалите в MBAM
Код:
Заражено ключей реестра:
HKEY_CLASSES_ROOT\connectionservices.connectionservices (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\connectionservices.connectionservices.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8cb0d898-a6a2-48c3-bbd7-862f85b18d46} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{431d251c-b43a-47d7-b4f4-07a101b432d6} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Trojan.BHO) -> No action taken.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Заражено файлов:
C:\Documents and Settings\user\Desktop\CVgs141\vgsmod141.exe (Trojan.Bancos) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\user\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\WINDOWS\desktop.html (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Downloaded Program Files\egdhtml_pack.inf (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
C:\WINDOWS\tmlpcert2005 (Adware.EGDAccess) -> No action taken.
Junior Member
Вес репутации
52
Все удалил как посоветовали, но что то выключает IE, иногда страница успевает загрузиться, в режиме без надстроек тоже не работает, работает только в автономном режиме до подключения интернета.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
C:\WINDOWS\System32\sfcfiles.dll восстановите с диcтрибутива http://virusinfo.info/showthread.php?t=51654
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\huadio.tmp
mslaugh.exe
Driver::
autorun
Folder::
Registry::
[HKEY_LOCALE_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Automation"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
Выполнил, прикрепил новый лог
Что с проблемой на данный момент?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
Все отлично работает кроме IE7 - запускается и сразу пропадает
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
52
К сожалению ни русская ни английские версии не устанавливаются, чтож буду пользоваться Opera.
Огромное спасибо за оказанную помощь, главная проблемма решена, спасибо!!!
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 6 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.641, AVAST4: Win32:SFCPatch [Trj] )