-
Junior Member
- Вес репутации
- 52
Trojan.Win32.Patched.hp в C:/Windows.0/system32/sfc_os.dll
Доброго времени суток! Попалась на комп сия зараза, причём, детектирует её только Каспер (собственно, узнала о этом звере только через AVP). AVP лечить его не хочет. Точнее, лечит\удаляет, но тот возникает вновь. Решила попробовать заменить файлик через консоль, но вот беда, при нажатии на R продолжается установка! Попробовала F2 - на что система сообщила, что ей нужна дискета для загрузки консоли. Дискеты нет и никогда не было, только CD. Помогите как-то восстановиться или же как-то вылечить зверюгу...
Второй комп имеется, но там непонятно какой пак, плюс по видимому, нужный файл тоже не в порядке...
Самое странное, что AVZ не задетектировал проблем при выполнении скрипта, хотя вирустотал выдал вот такой зоопарк: http://www.virustotal.com/ru/analisi...e21-1273351337
Хотя меня терзают смутные сомнения, а может быть данный файл специально пропатчен (ОС - пиратка) ?
UPD: Забыла уточнить, что в свойствах файлика дата создания и дата изменения стоят одинаковые (2008 год), так что патча извне, вроде, нет, хотя хз. Вес - 139 кб, хотя на втором компе он весит 129 кб (правда, там и пак вроде бы, другой). За время сканирования, AVP выругался 5 раз, хотя я его лечила\удаляла. Более того, AVP отказался сканироваться в безопасном режиме. Стал писать, что система загружена в безопасном и предлагал перезагрузку. Сканирование начинать не хотел до возврата в нормальный режим.
Последний раз редактировалось ikona; 09.05.2010 в 02:42.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В AVZ выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('m?‘|Pл.exe','');
QuarantineFile( RegKeyStrParamRead( 'HKLM', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GEST'),'');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи AVZ повторите.
-
-
Junior Member
- Вес репутации
- 52
С карантином какая-то ерунда. Скрипт запустила, но в процессе пошли красные записи (содержимое не усекла). В итоге после запуска второго скрипта, архив создался, но он совершенно пуст (22 байта, 0 файлов). Так что не знаю, сохранилось ли там что-то? Есть ли смысл в повторных логах, т.к. в карантине всё равно пустота?
PS Этот файлик, что Вы прописали в скрипте, мне давно покоя не даёт, хотя вижу его с самого первого дня работы на этой ОСи.
Пустой карантин высылаю всё равно, логи пока не делаю. Если не права - исправлюсь.
_____________
UPD: Странно, но при попытке загрузить карантин, система написала, что этот файл уже был загружен и новый грузить отказалась
Последний раз редактировалось ikona; 09.05.2010 в 04:56.
-
А что мы увидим в пустом карантине?
Логи повторите пожалуйста.
-
-
Junior Member
- Вес репутации
- 52
Так вот я и удивляюсь, почему карантин оказался пуст? Ведь скрипт должен был найти файлик и туда его засунуть... однако ж
логи прикрепляю.
-
Похоже что чисто.
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - это надо обновлять.
Адоб ридер тоже обновите.
То что вы нашли C:/Windows.0/system32/sfc_os.dll лежит в недействующей системе,
логи сделааны с системы C:\WINDOWS.
-
-
Junior Member
- Вес репутации
- 52
как в недействующей? Эта ХР устанавливалась с нуля с предварительным полным форматом.
IE я не пользуюсь, потому об обновлении особо не думаю, а вот ОСь боюсь. Как потом активировать? Плюс, как-то устанавливала SP3 с диска, вроде, всё нормально, но потом категорически не хотели устанавливаться звук и ещё много чего из важного. И к вопросу о Адобе. Как понимаю, его надо обновлять с сайта Адоба. А он не будет потом глючить или просить лицензию? Всё ж у меня сейчас пиратка.
_______________
Ещё есть вопрос по поводу портов. ИМХО, слишком их много. Как понимаю, просьбу о закрытии нужно создавать в новой теме?
Последний раз редактировалось ikona; 09.05.2010 в 05:31.
-
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- поставте Adobe Reader 9.3 или удалите старый - не должен глючить и не должен просить лицензию
-
-
Сообщение от
ikona
как в недействующей? Эта ХР устанавливалась с нуля с предварительным полным форматом.
с помощью AVZ добавьте C:/Windows.0/system32/sfc_os.dll в карантин и пришлите по правилам. Файл замените чистым из дистрибутива windows (должен замениться без проблем в режиме нормально работы ОС)
Сообщение от
polword
Ещё есть вопрос по поводу портов. ИМХО, слишком их много.
http://www.saule-spb.ru/library/wwdc.html
-
-
Junior Member
- Вес репутации
- 52
AVZ добавлять его категорически не хочет, пишет об ошибке прямого чтения, хотя работая в безопасном режиме. Так что архивирую обычным способом с установкой пароля.
Сообщение от
миднайт
Файл замените чистым из дистрибутива windows (должен замениться без проблем в режиме нормально работы ОС)
Вот в этом-то и проблема. Я не могу войти в консоль восстановления! При запуске диска, он пишет, что для загрузки консоли надо нажать F2 (На R вообще не реагирует), а при нажатии на F2 просит дискету, которой отродясь не было. Если на этом шаге давить на R, то он снова пытается загрузится с флопа, а т.к. не выходит, продолжает обычную установку. Плюс ко всему, я никогда консолью не пользовалась, хотя и читала сайт Майкрософта по этой части.
Файлик высылаю.
UPD: с консолью кое-как справилась, правда, файл отказался копироваться по месту назначения (невозможно скопировать файл в указанный путь). Поэтому пришлось его копировать в другую папку, а оттуда уже в безопасном режиме ставить на место. Но(!) заменятся он не захотел всё равно (файл с указанным именем уже существует), поэтому пришлось оригинал переименовать и поставить в другое место, а здоровый файл поставить. После замены исходный файл, находящийся уже в другой папке всё равно отказался удалятся (диск переполнен или защищён от записи). Вот скан с вирустотал уже заменённого файла http://www.virustotal.com/ru/analisi...e21-1273422594 так что боюсь, в моём случае это просто патч ОСи, потому как ни в чём эдаком эта зверюга себя не проявляет. Ничего не тормозит, не глючит, нет превышения трафика по сети и т.д.
Последний раз редактировалось ikona; 09.05.2010 в 20:32.
-
Вероятно это фолс антивирусов. У вас сборка windows? Не "зверь" случаем?
-
-
Junior Member
- Вес репутации
- 52
Нет, не "Зверь" диск прислал знакомый сисадмин с пометкой "WinLite". Что сие такое - не знаю, вроде, от стандартного пака не отличается. Примочек не имеет. Разве что, автоматом стоял автовход, хотя сразу при установке было создано 3 учётки. Единственное, что странно, правда, это было на всех дистрибах, установленных на этот комп - сразу после входа в учётку на доли секунд появляется какое-то окошко в верхней трети экрана (ближе к центру), но оно тут же закрывается. Собственно, я успеваю заметить лишь очертания границ окошка (стандартное, белое), но как-то подловить его не выходит.
Собственно, я почему взялась за проверки и т.д. ВКонтакте достали блокировки страницы "за спам", хотя я параноик и по ссылкам не хожу, да и пароли не 1234 выбираю. Система как показало исследование, вроде бы, чистая. Причём, это по исследованиям и Курилки, и онлайновского Нод32, и некоторых проверок на троянцев, и регулярной проверки созданных недавно файлов на предмет выявления чего-то "интересного". ВКонтакте работаю под ФФ с полным набором подписок + NoScript и Flashblock. Однако ж, ему что-то всё равно не нравится (или админам сайта делать нечего, потому и блочат всех подряд).
Потом в упор не понимаю, почему же Каспер нашёл зверя в Windows.0, когда этой папки нет? И почему же другие онлайн-сканеры не начали ругаться на этот файлик, лежащий у меня в Windows? Только AVP и вирустотал при принудительной загрузке.
Последний раз редактировалось ikona; 09.05.2010 в 23:16.
-
Подождите немного мы этот файл перепроверим.
-
-
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
Aleksandra
Пропатчен...
И что в итоге Вы рекомендуете делать?
Может Контакт блокировать из-за этого зверька? Описание толкового не нашла, как и не нашла информации по деструктивной деятельности.
-
Копируете этот файл из диска с дистрибутивом (либо с другой идентичной системы) в отдельную папку и заменяете в безопасном режиме (либо загрузившись с любого доступного live cd) в папках C:\WINDOWS\system32\ и C:\WINDOWS\system32\dllcache\
-
-
Junior Member
- Вес репутации
- 52
Последний лог с вирустотал был с уже заменённого файлика правда, удалятся оригинальный всё равно не захотел, так и пришлось его оставить в другой папке, а за место него поставить с диска.
-
Проделайте замену файла загрузившись с live cd
Файл в аттаче, его возьмите.
Вложение 236695
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \sfc_os.dll - Trojan.Win32.Patched.hp
-