Добрый день!
Помогите почистить компьютер от трояна. Логи сделал и прикрепил к сообщению.
Printable View
Добрый день!
Помогите почистить компьютер от трояна. Логи сделал и прикрепил к сообщению.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\Program Files\internet explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\smphost.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\User\Application Data\netprotocol.exe','');
QuarantineFile('c:\windows\system32\smphost.exe','');
TerminateProcessByName('c:\windows\system32\smphost.exe');
QuarantineFile('c:\documents and settings\user\application data\netprotocol.exe','');
QuarantineFile('c:\documents and settings\user\application data\xtaxl1c2r1pcrxwdi3ktmdyb1usrf3o2\csrss.exe','');
TerminateProcessByName('c:\documents and settings\user\application data\xtaxl1c2r1pcrxwdi3ktmdyb1usrf3o2\csrss.exe');
QuarantineFile('c:\docume~1\user\locals~1\temp\6622010.exe','');
TerminateProcessByName('c:\docume~1\user\locals~1\temp\6622010.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\6622010.exe');
DeleteFile('c:\documents and settings\user\application data\xtaxl1c2r1pcrxwdi3ktmdyb1usrf3o2\csrss.exe');
DeleteFile('c:\documents and settings\user\application data\netprotocol.exe');
DeleteFile('c:\windows\system32\smphost.exe');
DeleteFile('C:\Documents and Settings\User\Application Data\netprotocol.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smphost');
DeleteFile('C:\WINDOWS\system32\smphost.exe');
DeleteFile('C:\Program Files\internet explorer\setupapi.dll');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных или отсутствует');
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\ServicePackFiles\i386\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных или отсутствует');
end;
end;
//sfcfiles.log сохранится в папке, из которой был запущен AVZ
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\sfcfiles.bak');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\mssfc.dll');
SaveLog('sfcfiles.log');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- файл [COLOR="Blue"][B]sfcfiles.log[/B][/COLOR] прикрепите к сообщению
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
[FONT=monospace]Те логи, которые удалось сделать, прикрепил к сообщению. MBAM будет чуточку позднее.
Файл с карантином почему-то не могу загрузить, как положено. Можно ли его прикрепить к сообщению или дальше пробововать согласно инструкции?
P.S. После выполнения скрипта - компьютер не смог перезагрузиться. Синий экран - STOP 0x0000008E Beginning dump of physical memory
[/FONT]
- карантин пришлите
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
if FileExists ('%windir%\system32\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
begin
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
end
else
begin
AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
end
else
begin
AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
SaveLog('sfcfiles.log');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- файл [COLOR="Blue"][B]sfcfiles.log[/B][/COLOR] прикрепите к сообщению
При перезагрузке - появился тот же самый синий экран. Лог прикрепляю к сообщению. А файл с карантином отправить по-прежнему не могу (может вирус блокирует) через форму по ссылке вверху темы - могу отправить по электропочте (сообщите в ЛС куда отправить).
- Восстановите файл C:\WINDOWS\System32\sfcfiles.dll из [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива[/URL] или [URL="http://virusinfo.info/attachment.php?attachmentid=264140&d=1282796159"]отсюда[/URL]
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
[QUOTE=polword;758217]- Восстановите файл C:\WINDOWS\System32\sfcfiles.dll из [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива[/URL] или [URL="http://virusinfo.info/attachment.php?attachmentid=264140&d=1282796159"]отсюда[/URL][/QUOTE]
Возможно ли просто заменить файл в папке? Без консоли?
Прикрепляю еще лог МБАМ - хотя должен был раньше его прикрепить.
[B]Смените все пароли[/B]
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [code]Заражённые параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> No action taken.
Заражённые папки:
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Заражённые файлы:
c:\program files\mozilla firefox\setupapi.dll (Trojan.Agent) -> No action taken.[/code]
Удалил все
[QUOTE=thyrex;758319][B]Смените все пароли[/B][/QUOTE]
Пароли, которые использую при заходе на сайты через Мозиллу?
P.S. Стали закачиваться файлы! Закачал файл с карантином - правда он наверно сейчас не актуален?
[QUOTE='Dmitry_Che;758344']Пароли, которые использую при заходе на сайты через Мозиллу?[/QUOTE]И пароли, используемые в системе тоже
Лог в порядке
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\application data\\netprotocol.exe - [B]Trojan-Dropper.Win32.Drooptroop.koy[/B] ( DrWEB: Trojan.Click1.29386, BitDefender: Trojan.Generic.KDV.113666, AVAST4: Win32:MalOb-IJ [Cryp] )[*] c:\\documents and settings\\user\\application data\\xtaxl1c2r1pcrxwdi3ktmdyb1usrf3o2\\csrss.exe - [B]Trojan-Banker.Win32.Banker.bfmf[/B] ( DrWEB: Trojan.DownLoader1.56202, BitDefender: Gen:Variant.Kazy.8559, AVAST4: Win32:Kryptik-YX [Trj] )[*] c:\\docume~1\\user\\locals~1\\temp\\6622010.exe - [B]Backdoor.Win32.Agent.bezn[/B] ( DrWEB: BackDoor.Siggen.27809, BitDefender: Trojan.Generic.KDV.113614, AVAST4: Win32:BHO-ADC [Trj] )[*] c:\\program files\\internet explorer\\setupapi.dll - [B]Trojan.Win32.Zapchast.cwd[/B] ( DrWEB: Trojan.WinSpy.967, BitDefender: Trojan.Generic.5397047, AVAST4: Win32:Patched-TI [Trj] )[*] c:\\windows\\system32\\sfcfiles.dll - [B]Trojan.Win32.Patched.lq[/B] ( DrWEB: Trojan.WinSpy.988, BitDefender: Gen:Variant.Kazy.5984, AVAST4: Win32:Small-NTF [Trj] )[*] c:\\windows\\system32\\smphost.exe - [B]Trojan-Spy.Win32.Lpxenur.dp[/B] ( DrWEB: Trojan.PWS.Spy.10095, BitDefender: Gen:Variant.Buzy.254, AVAST4: Win32:BHO-ADC [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]