-
Junior Member
- Вес репутации
- 57
KIS 2009 постаянно блокирует zindrat.com
Добрый день.
Нужна помощь?
Есть подозрения на вирус...
Проявляется при запуске виндовс или открытия браузера KIS выдает сообщение, что был заблокирована загрузка вредоносной DLL с zindrat.com
Пример лога:
25.12.2010 14:37:09 Веб-Антивирус Запрещено: zindrat.com C:\WINDOWS\system32\ RUNDLL32.EXE 5540 http://zin:ohmy:drat.com/dup/page.ph...t=a2&var=title
25.12.2010 14:37:09 Веб-Антивирус Обнаружено: zindrat.com C:\WINDOWS\system32\ RUNDLL32.EXE 5540 http://zindrat.com/dup/page.php?do=o...t=a2&var=title Базы
25.12.2010 14:35:08 Веб-Антивирус Запрещено: zindrat.com C:\Program Files\LOGITECH\SetPointG\ SetPointII.exe 4188 "C:\Program Files\Logitech\SetPointG\SetPointII.exe" http://zindrat.com/dup/page.php?n=un...ery=query&do=0 Базы
25.12.2010 14:35:08 Веб-Антивирус Обнаружено: zindrat.com C:\Program Files\LOGITECH\SetPointG\ SetPointII.exe 4188 "C:\Program Files\Logitech\SetPointG\SetPointII.exe" http://zindrat.com/dup/page.php?n=un...ery=query&do=0 Базы
25.12.2010 14:34:45 Самозащита Запрещено C:\Program Files\LOGITECH\SetPointG\ SetPointII.exe 4188 "C:\Program Files\Logitech\SetPointG\SetPointII.exe" Открытие C:\Program Files\Kaspersky\Kaspersky Internet Security 2009\avp.exe
25.12.2010 14:34:08 Веб-Антивирус Запрещено: zindrat.com C:\Program Files\DAEMON TOOLS PRO\ DTPROAGENT.EXE 4024 "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" http://zindrat.com/dup/page.php?id=D...ticle=a6&do=en Базы
25.12.2010 14:34:08 Веб-Антивирус Обнаружено: zindrat.com C:\Program Files\DAEMON TOOLS PRO\ DTPROAGENT.EXE 4024 "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" http://zindrat.com/dup/page.php?id=D...ticle=a6&do=en Базы
25.12.2010 14:34:08 Веб-Антивирус Запрещено: zindrat.com C:\WINDOWS\system32\ searchprotocolhost.exe 3948 http://zindrat.com/dup/page.php?arti...CA5CBA&query=0 Базы
25.12.2010 14:34:07 Веб-Антивирус Обнаружено: zindrat.com C:\WINDOWS\system32\ searchprotocolhost.exe 3948 http://zindrat.com/dup/page.php?arti...CA5CBA&query=0 Базы
25.12.2010 14:40:09 Веб-Антивирус Запрещено: zindrat.com D:\GAMES\Steam\SteamApps\common\call of duty black ops\ BlackOpsMP.exe 3840 "d:\games\steam\steamapps\common\call of duty black ops\BlackOpsMP.exe" http://zindrat.com/dup/page.php?page...&query=a7&n=a3 Базы
25.12.2010 14:40:09 Веб-Антивирус Обнаружено: zindrat.com D:\GAMES\Steam\SteamApps\common\call of duty black ops\ BlackOpsMP.exe 3840 "d:\games\steam\steamapps\common\call of duty black ops\BlackOpsMP.exe" http://zindrat.com/dup/page.php?page...&query=a7&n=a3 Базы
25.12.2010 14:35:05 Веб-Антивирус Запрещено: zindrat.com C:\Program Files\LOGITECH\SetPointP\ SetPoint.exe 3760 "C:\Program Files\Logitech\SetPointP\SetPoint.exe" /launchGaming http://zindrat.com/dup/page.php?clie...n=a3&uid=title Базы
25.12.2010 14:35:05 Веб-Антивирус Обнаружено: zindrat.com C:\Program Files\LOGITECH\SetPointP\ SetPoint.exe 3760 "C:\Program Files\Logitech\SetPointP\SetPoint.exe" /launchGaming http://zindrat.com/dup/page.php?clie...n=a3&uid=title Базы
25.12.2010 14:34:08 Веб-Антивирус Запрещено: zindrat.com C:\Program Files\LOGITECH\GamePanel Software\ LGDEVAGT.EXE 3256 "C:\Program Files\Logitech\GamePanel Software\LgDevAgt.exe" http://zindrat.com/dup/page.php?do=a...&cookie=0&n=a1 Базы
25.12.2010 14:34:07 Веб-Антивирус Обнаружено: zindrat.com C:\Program Files\LOGITECH\GamePanel Software\ LGDEVAGT.EXE 3256 "C:\Program Files\Logitech\GamePanel Software\LgDevAgt.exe" http://zindrat.com/dup/page.php?do=a...&cookie=0&n=a1 Базы
25.12.2010 14:34:08 Веб-Антивирус Запрещено: zindrat.com C:\Program Files\MICROSOFT OFFICE\OFFICE12\ GROOVEMONITOR.EXE 3244 "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" http://zindrat.com/dup/page.php?arti...&session=index Базы
25.12.2010 14:34:08 Веб-Антивирус Обнаружено: zindrat.com C:\Program Files\MICROSOFT OFFICE\OFFICE12\ GROOVEMONITOR.EXE 3244 "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" http://zindrat.com/dup/page.php?arti...&session=index Базы
25.12.2010 14:34:08 Веб-Антивирус Запрещено: zindrat.com D:\GAMES\Steam\ Steam.exe 3224 "D:\Games\Steam\Steam.exe" http://zindrat.com/dup/page.php?var=...icle=en&key=a4 Базы
25.12.2010 14:34:07 Веб-Антивирус Обнаружено: zindrat.com D:\GAMES\Steam\ Steam.exe 3224 "D:\Games\Steam\Steam.exe" http://zindrat.com/dup/page.php?var=...icle=en&key=a4 Базы
Последний раз редактировалось ICEdober; 26.12.2010 в 00:21.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Прокси-сервер сами прописывали? Если нет - пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 77.78.239.45:80
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=94207).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Спасибо, вроде все сделал...
Как обстановка (жить можно)?
Последний раз редактировалось Bratez; 25.12.2010 в 16:36.
Причина: убрал лишнее вложение
-
Необходимо заменить файл
C:\WINDOWS\System32\sfcfiles.dll
чистым из дистрибутива
(как).
Добавлено через 2 минуты
После этого сделайте новый лог virusinfo_syscheck (только п.2 Диагностики).
Последний раз редактировалось Bratez; 25.12.2010 в 16:37.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Вроде восстановил. (sfcfiles.dll взял с диска с дистрибутивом windows xp с него же устанавливал когда-то windows).
Посмотрите, пожалуйста, что получилось.
Заранее спасибо!
Последний раз редактировалось ICEdober; 26.12.2010 в 00:25.
-
Плохого не видно. Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.966, BitDefender: Gen:Variant.Kazy.5984, NOD32: Win32/Hodprot.AA trojan, AVAST4: Win32:Patched-TI [Trj] )
-