KIS 2009 постаянно блокирует zindrat.com

[ICEdober]

Добрый день.

Нужна помощь?

Есть подозрения на вирус...

Проявляется при запуске виндовс или открытия браузера KIS выдает сообщение, что был заблокирована загрузка вредоносной DLL с zindrat.com

Пример лога:
25.12.2010 14:37:09 Веб-Антивирус Запрещено: zindrat.com C:\WINDOWS\system32\ RUNDLL32.EXE 5540 http://zin:ohmy:drat.com/dup/page.ph...t=a2&var=title
25.12.2010 14:37:09 Веб-Антивирус Обнаружено: zindrat.com C:\WINDOWS\system32\ RUNDLL32.EXE 5540 http://zindrat.com/dup/page.php?do=o...t=a2&var=title Базы
25.12.2010 14:35:08 Веб-Антивирус Запрещено: zindrat.com C:\Program Files\LOGITECH\SetPointG\ SetPointII.exe 4188 "C:\Program Files\Logitech\SetPointG\SetPointII.exe" http://zindrat.com/dup/page.php?n=un...ery=query&do=0 Базы
25.12.2010 14:35:08 Веб-Антивирус Обнаружено: zindrat.com C:\Program Files\LOGITECH\SetPointG\ SetPointII.exe 4188 "C:\Program Files\Logitech\SetPointG\SetPointII.exe" http://zindrat.com/dup/page.php?n=un...ery=query&do=0 Базы
25.12.2010 14:34:45 Самозащита Запрещено C:\Program Files\LOGITECH\SetPointG\ SetPointII.exe 4188 "C:\Program Files\Logitech\SetPointG\SetPointII.exe" Открытие C:\Program Files\Kaspersky\Kaspersky Internet Security 2009\avp.exe
25.12.2010 14:34:08 Веб-Антивирус Запрещено: zindrat.com C:\Program Files\DAEMON TOOLS PRO\ DTPROAGENT.EXE 4024 "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" http://zindrat.com/dup/page.php?id=D...ticle=a6&do=en Базы
25.12.2010 14:34:08 Веб-Антивирус Обнаружено: zindrat.com C:\Program Files\DAEMON TOOLS PRO\ DTPROAGENT.EXE 4024 "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" http://zindrat.com/dup/page.php?id=D...ticle=a6&do=en Базы
25.12.2010 14:34:08 Веб-Антивирус Запрещено: zindrat.com C:\WINDOWS\system32\ searchprotocolhost.exe 3948 http://zindrat.com/dup/page.php?arti...CA5CBA&query=0 Базы
25.12.2010 14:34:07 Веб-Антивирус Обнаружено: zindrat.com C:\WINDOWS\system32\ searchprotocolhost.exe 3948 http://zindrat.com/dup/page.php?arti...CA5CBA&query=0 Базы
25.12.2010 14:40:09 Веб-Антивирус Запрещено: zindrat.com D:\GAMES\Steam\SteamApps\common\call of duty black ops\ BlackOpsMP.exe 3840 "d:\games\steam\steamapps\common\call of duty black ops\BlackOpsMP.exe" http://zindrat.com/dup/page.php?page...&query=a7&n=a3 Базы
25.12.2010 14:40:09 Веб-Антивирус Обнаружено: zindrat.com D:\GAMES\Steam\SteamApps\common\call of duty black ops\ BlackOpsMP.exe 3840 "d:\games\steam\steamapps\common\call of duty black ops\BlackOpsMP.exe" http://zindrat.com/dup/page.php?page...&query=a7&n=a3 Базы
25.12.2010 14:35:05 Веб-Антивирус Запрещено: zindrat.com C:\Program Files\LOGITECH\SetPointP\ SetPoint.exe 3760 "C:\Program Files\Logitech\SetPointP\SetPoint.exe" /launchGaming http://zindrat.com/dup/page.php?clie...n=a3&uid=title Базы
25.12.2010 14:35:05 Веб-Антивирус Обнаружено: zindrat.com C:\Program Files\LOGITECH\SetPointP\ SetPoint.exe 3760 "C:\Program Files\Logitech\SetPointP\SetPoint.exe" /launchGaming http://zindrat.com/dup/page.php?clie...n=a3&uid=title Базы
25.12.2010 14:34:08 Веб-Антивирус Запрещено: zindrat.com C:\Program Files\LOGITECH\GamePanel Software\ LGDEVAGT.EXE 3256 "C:\Program Files\Logitech\GamePanel Software\LgDevAgt.exe" http://zindrat.com/dup/page.php?do=a...&cookie=0&n=a1 Базы
25.12.2010 14:34:07 Веб-Антивирус Обнаружено: zindrat.com C:\Program Files\LOGITECH\GamePanel Software\ LGDEVAGT.EXE 3256 "C:\Program Files\Logitech\GamePanel Software\LgDevAgt.exe" http://zindrat.com/dup/page.php?do=a...&cookie=0&n=a1 Базы
25.12.2010 14:34:08 Веб-Антивирус Запрещено: zindrat.com C:\Program Files\MICROSOFT OFFICE\OFFICE12\ GROOVEMONITOR.EXE 3244 "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" http://zindrat.com/dup/page.php?arti...&session=index Базы
25.12.2010 14:34:08 Веб-Антивирус Обнаружено: zindrat.com C:\Program Files\MICROSOFT OFFICE\OFFICE12\ GROOVEMONITOR.EXE 3244 "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" http://zindrat.com/dup/page.php?arti...&session=index Базы
25.12.2010 14:34:08 Веб-Антивирус Запрещено: zindrat.com D:\GAMES\Steam\ Steam.exe 3224 "D:\Games\Steam\Steam.exe" http://zindrat.com/dup/page.php?var=...icle=en&key=a4 Базы
25.12.2010 14:34:07 Веб-Антивирус Обнаружено: zindrat.com D:\GAMES\Steam\ Steam.exe 3224 "D:\Games\Steam\Steam.exe" http://zindrat.com/dup/page.php?var=...icle=en&key=a4 Базы

[Bratez]

Прокси-сервер сами прописывали? Если нет - пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 77.78.239.45:80

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=94207).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[ICEdober]

Спасибо, вроде все сделал...

Как обстановка (жить можно)?

[Bratez]

Необходимо заменить файл
C:\WINDOWS\System32\sfcfiles.dll
чистым из дистрибутива
(как).

Добавлено через 2 минуты

После этого сделайте новый лог virusinfo_syscheck (только п.2 Диагностики).

[ICEdober]

Вроде восстановил. (sfcfiles.dll взял с диска с дистрибутивом windows xp с него же устанавливал когда-то windows).

Посмотрите, пожалуйста, что получилось.


Заранее спасибо!

[thyrex]

Плохого не видно. Проблема решена?

[ICEdober]

Вроде да.

Спасибо.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.966, BitDefender: Gen:Variant.Kazy.5984, NOD32: Win32/Hodprot.AA trojan, AVAST4: Win32:Patched-TI [Trj] )