Новая модификацая Трояна

Printable View

18.03.2009, 10:46
mc_manana

Вложений: 4

Новая модификацая Трояна

Доброе утро.
При открытии Open Office, IExplorer и др.(LigthAlloy) выскакивает нестандартное сообщение об ошибке и предлагает оправить отчет по интернету неизвестно куда. Игнорируя ошибку можно работать дальше. т.к. на самом деле я так понимаю никакой ошибки нет.
Проверил DrWeb Curreit и Avira с базами от 17.03.09 - они нашли TR/Dropper.Gen, TR/Patched.DZ и BackDoor. Zapinit и удалили.
Проверил онлайн сканером Касперского - нашел новую модификацию Трояна, ссылки на которого(лечение. описание,...) в инете нет -
[B]C:\WINDOWS\system32\sfcfiles.dll Зараженный объект: Trojan.Win32.Patched.fr пропустить[/B].
Так же он(Онлайновый сканер) нашел и заблокировал много других процессов, но не вылечил и не удалил.
1. Помогите избавиться от нового вируса.
2. Подскажите, какие можно еще поставить бесплатные антивирусы, т.к Авира многое пропускает. а платные не могу поставить, т.к. это рабочий компьютер.
18.03.2009, 13:20
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys ',' ');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
19.03.2009, 10:44
mc_manana

Вложений: 3

Карантин

доброе утро.
Скрипт выполнил. Но в каранитин по-моему ничего не попало. Папка пустая. Я ее выслалл на всякий случай.
Логи повторяю.
19.03.2009, 10:51
light59

Что с проблемами?
19.03.2009, 12:17
mc_manana

Вложений: 1

После выполнения скрипта Open Office и IExplorer стали запускаться без ошибок. Спасибо!!!!
Потом скачал из инета AVPTool. Он онашел и удали вирус sfcfiles.bak
Но AVPTool еще нашел какую-то новую тему
[B]1.4 Поиск маскировки процессов и драйверов
19.03.2009 11:08:54 Маскировка процесса с PID=3896, имя = "setup.exe", полное имя = "\Device\HarddiskVolume1\DOCUME~1\956C~1\LOCALS~1\Temp\RarSFX0\setup.exe"
19.03.2009 11:08:54 >> обнаружена подмена PID (текущий PID=0, реальный = 3896)
19.03.2009 11:08:54 >> обнаружена подмена имени, новое имя = "DNШЃDNШЃ[/B]
И еще каких-то перехватчиков. Прикладываю лог AVPTool. Не подскажите что это за перехватчики?
19.03.2009, 12:21
light59

CureIt запускали? :)
19.03.2009, 14:35
mc_manana

Да, перидически запускаю. Это его следы в системе?
19.03.2009, 17:04
Гриша

Да...
20.03.2009, 17:04
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]0[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]