KIS 2009 постаянно блокирует zindrat.com

Добрый день.

Нужна помощь?

Есть подозрения на вирус...

Проявляется при запуске виндовс или открытия браузера KIS выдает сообщение, что был заблокирована загрузка вредоносной DLL с zindrat.com

Пример лога:
25.12.2010 14:37:09 Веб-Антивирус Запрещено: zindrat.com C:\WINDOWS\system32\ RUNDLL32.EXE 5540 [url]http://zin:ohmy:drat.com/dup/page.php?do=opera&link=en&session=D6AB5E8033CA5CBA&page=en&article=a3&n=0&client=a2&var=title[/url]
25.12.2010 14:37:09 Веб-Антивирус Обнаружено: zindrat.com C:\WINDOWS\system32\ RUNDLL32.EXE 5540 [url]http://zindrat.com/dup/page.php?do=opera&link=en&session=D6AB5E8033CA5CBA&page=en&article=a3&n=0&client=a2&var=title[/url] Базы
25.12.2010 14:35:08 Веб-Антивирус Запрещено: zindrat.com C:\Program Files\LOGITECH\SetPointG\ SetPointII.exe 4188 "C:\Program Files\Logitech\SetPointG\SetPointII.exe" [url]http://zindrat.com/dup/page.php?n=unknown&id=D6AB5E8033CA5CBA&article=opera&client=a9&hl=a1&query=query&do=0[/url] Базы
25.12.2010 14:35:08 Веб-Антивирус Обнаружено: zindrat.com C:\Program Files\LOGITECH\SetPointG\ SetPointII.exe 4188 "C:\Program Files\Logitech\SetPointG\SetPointII.exe" [url]http://zindrat.com/dup/page.php?n=unknown&id=D6AB5E8033CA5CBA&article=opera&client=a9&hl=a1&query=query&do=0[/url] Базы
25.12.2010 14:34:45 Самозащита Запрещено C:\Program Files\LOGITECH\SetPointG\ SetPointII.exe 4188 "C:\Program Files\Logitech\SetPointG\SetPointII.exe" Открытие C:\Program Files\Kaspersky\Kaspersky Internet Security 2009\avp.exe
25.12.2010 14:34:08 Веб-Антивирус Запрещено: zindrat.com C:\Program Files\DAEMON TOOLS PRO\ DTPROAGENT.EXE 4024 "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" [url]http://zindrat.com/dup/page.php?id=D6AB5E8033CA5CBA&n=0&article=a6&do=en[/url] Базы
25.12.2010 14:34:08 Веб-Антивирус Обнаружено: zindrat.com C:\Program Files\DAEMON TOOLS PRO\ DTPROAGENT.EXE 4024 "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" [url]http://zindrat.com/dup/page.php?id=D6AB5E8033CA5CBA&n=0&article=a6&do=en[/url] Базы
25.12.2010 14:34:08 Веб-Антивирус Запрещено: zindrat.com C:\WINDOWS\system32\ searchprotocolhost.exe 3948 [url]http://zindrat.com/dup/page.php?article=rnd&link=rand&lr=rnd&do=a1&uid=D6AB5E8033CA5CBA&query=0[/url] Базы
25.12.2010 14:34:07 Веб-Антивирус Обнаружено: zindrat.com C:\WINDOWS\system32\ searchprotocolhost.exe 3948 [url]http://zindrat.com/dup/page.php?article=rnd&link=rand&lr=rnd&do=a1&uid=D6AB5E8033CA5CBA&query=0[/url] Базы
25.12.2010 14:40:09 Веб-Антивирус Запрещено: zindrat.com D:\GAMES\Steam\SteamApps\common\call of duty black ops\ BlackOpsMP.exe 3840 "d:\games\steam\steamapps\common\call of duty black ops\BlackOpsMP.exe" [url]http://zindrat.com/dup/page.php?page=en&lr=D6AB5E8033CA5CBA&client=rand&key=rnd&var=0&query=a7&n=a3[/url] Базы
25.12.2010 14:40:09 Веб-Антивирус Обнаружено: zindrat.com D:\GAMES\Steam\SteamApps\common\call of duty black ops\ BlackOpsMP.exe 3840 "d:\games\steam\steamapps\common\call of duty black ops\BlackOpsMP.exe" [url]http://zindrat.com/dup/page.php?page=en&lr=D6AB5E8033CA5CBA&client=rand&key=rnd&var=0&query=a7&n=a3[/url] Базы
25.12.2010 14:35:05 Веб-Антивирус Запрещено: zindrat.com C:\Program Files\LOGITECH\SetPointP\ SetPoint.exe 3760 "C:\Program Files\Logitech\SetPointP\SetPoint.exe" /launchGaming [url]http://zindrat.com/dup/page.php?client=D6AB5E8033CA5CBA&query=a2&key=0&do=ie&hl=a4&lr=a8&session=a3&uid=title[/url] Базы
25.12.2010 14:35:05 Веб-Антивирус Обнаружено: zindrat.com C:\Program Files\LOGITECH\SetPointP\ SetPoint.exe 3760 "C:\Program Files\Logitech\SetPointP\SetPoint.exe" /launchGaming [url]http://zindrat.com/dup/page.php?client=D6AB5E8033CA5CBA&query=a2&key=0&do=ie&hl=a4&lr=a8&session=a3&uid=title[/url] Базы
25.12.2010 14:34:08 Веб-Антивирус Запрещено: zindrat.com C:\Program Files\LOGITECH\GamePanel Software\ LGDEVAGT.EXE 3256 "C:\Program Files\Logitech\GamePanel Software\LgDevAgt.exe" [url]http://zindrat.com/dup/page.php?do=a7&hl=D6AB5E8033CA5CBA&session=a3&cookie=0&n=a1[/url] Базы
25.12.2010 14:34:07 Веб-Антивирус Обнаружено: zindrat.com C:\Program Files\LOGITECH\GamePanel Software\ LGDEVAGT.EXE 3256 "C:\Program Files\Logitech\GamePanel Software\LgDevAgt.exe" [url]http://zindrat.com/dup/page.php?do=a7&hl=D6AB5E8033CA5CBA&session=a3&cookie=0&n=a1[/url] Базы
25.12.2010 14:34:08 Веб-Антивирус Запрещено: zindrat.com C:\Program Files\MICROSOFT OFFICE\OFFICE12\ GROOVEMONITOR.EXE 3244 "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [url]http://zindrat.com/dup/page.php?article=D6AB5E8033CA5CBA&id=rnd&lr=0&key=us&client=unknown&session=index[/url] Базы
25.12.2010 14:34:08 Веб-Антивирус Обнаружено: zindrat.com C:\Program Files\MICROSOFT OFFICE\OFFICE12\ GROOVEMONITOR.EXE 3244 "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [url]http://zindrat.com/dup/page.php?article=D6AB5E8033CA5CBA&id=rnd&lr=0&key=us&client=unknown&session=index[/url] Базы
25.12.2010 14:34:08 Веб-Антивирус Запрещено: zindrat.com D:\GAMES\Steam\ Steam.exe 3224 "D:\Games\Steam\Steam.exe" [url]http://zindrat.com/dup/page.php?var=a5&page=D6AB5E8033CA5CBA&do=a6&client=0&article=en&key=a4[/url] Базы
25.12.2010 14:34:07 Веб-Антивирус Обнаружено: zindrat.com D:\GAMES\Steam\ Steam.exe 3224 "D:\Games\Steam\Steam.exe" [url]http://zindrat.com/dup/page.php?var=a5&page=D6AB5E8033CA5CBA&do=a6&client=0&article=en&key=a4[/url] Базы

Прокси-сервер сами прописывали? Если нет - пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,[COLOR="Red"]ProxyServer = 77.78.239.45:80[/COLOR]
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=94207[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Спасибо, вроде все сделал...

Как обстановка (жить можно)?

Необходимо заменить файл
[B]C:\WINDOWS\System32\sfcfiles.dll[/B]
чистым из дистрибутива
([URL="http://virusinfo.info/showthread.php?t=51654"]как[/URL]).

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

После этого сделайте новый лог virusinfo_syscheck (только п.2 Диагностики).

Вроде восстановил. ([B]sfcfiles.dll[/B] взял с диска с дистрибутивом windows xp с него же устанавливал когда-то windows).

Посмотрите, пожалуйста, что получилось.


Заранее спасибо! :biggrin:

Плохого не видно. Проблема решена?

Вроде да.

Спасибо.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\sfcfiles.dll - [B]Trojan.Win32.Patched.lq[/B] ( DrWEB: Trojan.WinSpy.966, BitDefender: Gen:Variant.Kazy.5984, NOD32: Win32/Hodprot.AA trojan, AVAST4: Win32:Patched-TI [Trj] )[/LIST][/LIST]