Добрый день!
Помогите справиться с трояном(?) в sfc.sys.
При каждой перезагрузке NOD сообщает :
c:\windows\system32\drivers\sfc.sys
угроза Win/Agent.PHC trojan - очищен удалением, но появляется снова.
Printable View
Добрый день!
Помогите справиться с трояном(?) в sfc.sys.
При каждой перезагрузке NOD сообщает :
c:\windows\system32\drivers\sfc.sys
угроза Win/Agent.PHC trojan - очищен удалением, но появляется снова.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
карантин отправил
Файл сохранён как 090804_175624_virus1_4a783e08ea0ab.zip
Размер файла 17269
MD5 513af26abb1c28a80c4bcc916381c859
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R3 - URLSearchHook: (no name) - {E9598854-2569-48DF-9755-1D330BD50EDE} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe before1main
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('htiul');
StopService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\sbjla.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\sbjla.dll');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services','htiul');
RegKeyParamDel('HKLM','SYSTEM\ControlSet001\Services','htiul');
RegKeyParamDel('HKLM','SYSTEM\ControlSet003\Services','htiul');
RegKeyParamDel('HKLM','SYSTEM\ControlSet004\Services','htiul');
DeleteService('systemntmi');
DeleteService('htiul');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('htiul');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
карантин отправил
Файл сохранён как 090804_214311_virus3_4a78732fa166e.zip
Размер файла 17275
MD5 e233cedaad4d9ee7c0b1e526adf1acb3
nod ничего не находит, но Windows не загружается в безопасном режиме
Код:
[CODE]gmer.exe -del service htiul
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\htiul"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\htiul"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\htiul"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet04\Services\htiul"
gmer.exe -del file "C:\WINDOWS\system32\sbjla.dll"
gmer.exe -reboot[/CODE]
скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 123.bat и запустите.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('spil.sys','');
BC_ImportAll;
ExecuteRepair(10);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
карантин отправил
Файл сохранён как 090805_011358_virus4_4a78a4964a1a8.zip
Размер файла 17221
MD5 a04e9a9aa36caf4b9c2777a9c1809e38
вроде все работает, вход через безопасный режим тоже.
надеюсь, что это все! спасибо!
В логах ничего подозрительного.
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]