Опять вернулся старый вирус, блокирующий анивирусные сайты, на этот раз доработанный - все виды avz, hijackthis и rsit тоже не грузятся , прикрепляю логи avp tools
Printable View
Опять вернулся старый вирус, блокирующий анивирусные сайты, на этот раз доработанный - все виды avz, hijackthis и rsit тоже не грузятся , прикрепляю логи avp tools
Выполните скрипт
[code]begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll ','');
QuarantineFile('C:\WINDOWS.0\system32\mssfc.dll','');
QuarantineFile('C:\WINDOWS.0\system32\ssysqd.exe','');
QuarantineFile('C:\WINDOWS.0\system32\d99ea17b.exe','');
QuarantineFile('C:\Program Files\Gajim\bin\gajim.exe','');
QuarantineFile('C:\Program Files\Common Files\IntraVision Soft\lsass.exe','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
QuarantineFile('c:\windows.0\system32\cthelper.exe','');
DeleteFile('C:\Program Files\Common Files\IntraVision Soft\lsass.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-776561741-1292428093-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Run','shell');
DeleteFile('C:\WINDOWS.0\system32\d99ea17b.exe');
DeleteFile('C:\WINDOWS.0\system32\ssysqd.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll ');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки выполните второй скрипт
[code]Begin
CreateQurantineArchive('C:\quarantine.zip');
End.[/code]
Закачайте полученный карантин по красной ссылке вверху. Попробуйте сделать логи AVZ
Всё сделал.
Файл sfc.sys замените на чистый с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]. Затем лог virusinfo syscheck повторите
sfc.sys А это разве не вирус? Где я его возьму, в других дистрибутивах windows его нет
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Program Files\Common Files\BinarySense\hlAPP.dll','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\afd.sys','');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
SaveLog('sfcfiles.log');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
SaveLog('sfcfiles.log');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
SaveLog('sfcfiles.log');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
SaveLog('sfcfiles.log');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [B]virusinfo_syscheck.zip[/B];
- файл [B]sfcfiles.log[/B] прикрепите к сообщению
Всё сделано
- Восстановите файл C:\WINDOWS.0\system32\sfcfiles.dll из [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива[/URL].
Благодарю, сейчас вроде больше нет никаких проявлений вируса
Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
O18 - Protocol: hddlife - {BD758015-47D9-477A-8873-4B688A2BC0E2} - "C:\Program Files\Common Files\BinarySense\hlAPP.dll" (file missing)
[/CODE]
В остальном подозрительного нет.
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]37[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\internet explorer\\setupapi.dll - [B]Trojan.Win32.Zapchast.cbh[/B] ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Spy.Agent.OFN, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )[*] c:\\windows.0\\system32\\d99ea17b.exe - [B]Packed.Win32.Krap.hr[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4720806, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )[*] c:\\windows.0\\system32\\sfcfiles.dll - [B]Trojan.Win32.Patched.lq[/B] ( DrWEB: Trojan.WinSpy.925, BitDefender: Gen:Variant.Kazy.5984, AVAST4: Win32:Small-NTF [Trj] )[*] c:\\windows.0\\system32\\ssysqd.exe - [B]Packed.Win32.Krap.hr[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )[/LIST][/LIST]