Показано с 1 по 19 из 19.

Trojan.Win32.Patched.hp в C:/Windows.0/system32/sfc_os.dll (заявка № 77952)

  1. #1
    Junior Member Репутация
    Регистрация
    09.05.2010
    Сообщений
    14
    Вес репутации
    51

    Exclamation Trojan.Win32.Patched.hp в C:/Windows.0/system32/sfc_os.dll

    Доброго времени суток! Попалась на комп сия зараза, причём, детектирует её только Каспер (собственно, узнала о этом звере только через AVP). AVP лечить его не хочет. Точнее, лечит\удаляет, но тот возникает вновь. Решила попробовать заменить файлик через консоль, но вот беда, при нажатии на R продолжается установка! Попробовала F2 - на что система сообщила, что ей нужна дискета для загрузки консоли. Дискеты нет и никогда не было, только CD. Помогите как-то восстановиться или же как-то вылечить зверюгу...
    Второй комп имеется, но там непонятно какой пак, плюс по видимому, нужный файл тоже не в порядке...

    Самое странное, что AVZ не задетектировал проблем при выполнении скрипта, хотя вирустотал выдал вот такой зоопарк: http://www.virustotal.com/ru/analisi...e21-1273351337

    Хотя меня терзают смутные сомнения, а может быть данный файл специально пропатчен (ОС - пиратка) ?

    UPD: Забыла уточнить, что в свойствах файлика дата создания и дата изменения стоят одинаковые (2008 год), так что патча извне, вроде, нет, хотя хз. Вес - 139 кб, хотя на втором компе он весит 129 кб (правда, там и пак вроде бы, другой). За время сканирования, AVP выругался 5 раз, хотя я его лечила\удаляла. Более того, AVP отказался сканироваться в безопасном режиме. Стал писать, что система загружена в безопасном и предлагал перезагрузку. Сканирование начинать не хотел до возврата в нормальный режим.
    Последний раз редактировалось ikona; 09.05.2010 в 02:42.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    В AVZ выполните скрипт:

    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     QuarantineFile('m?‘|Pл.exe','');
    QuarantineFile( RegKeyStrParamRead( 'HKLM', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GEST'),'');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
    RebootWindows(true);
    end.


    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
    Логи AVZ повторите.

  4. #3
    Junior Member Репутация
    Регистрация
    09.05.2010
    Сообщений
    14
    Вес репутации
    51
    С карантином какая-то ерунда. Скрипт запустила, но в процессе пошли красные записи (содержимое не усекла). В итоге после запуска второго скрипта, архив создался, но он совершенно пуст (22 байта, 0 файлов). Так что не знаю, сохранилось ли там что-то? Есть ли смысл в повторных логах, т.к. в карантине всё равно пустота?

    PS Этот файлик, что Вы прописали в скрипте, мне давно покоя не даёт, хотя вижу его с самого первого дня работы на этой ОСи.

    Пустой карантин высылаю всё равно, логи пока не делаю. Если не права - исправлюсь.
    _____________
    UPD: Странно, но при попытке загрузить карантин, система написала, что этот файл уже был загружен и новый грузить отказалась
    Последний раз редактировалось ikona; 09.05.2010 в 04:56.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    А что мы увидим в пустом карантине?
    Логи повторите пожалуйста.

  6. #5
    Junior Member Репутация
    Регистрация
    09.05.2010
    Сообщений
    14
    Вес репутации
    51
    Так вот я и удивляюсь, почему карантин оказался пуст? Ведь скрипт должен был найти файлик и туда его засунуть... однако ж

    логи прикрепляю.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Похоже что чисто.
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - это надо обновлять.
    Адоб ридер тоже обновите.
    То что вы нашли C:/Windows.0/system32/sfc_os.dll лежит в недействующей системе,
    логи сделааны с системы C:\WINDOWS.

  8. #7
    Junior Member Репутация
    Регистрация
    09.05.2010
    Сообщений
    14
    Вес репутации
    51
    как в недействующей? Эта ХР устанавливалась с нуля с предварительным полным форматом.
    IE я не пользуюсь, потому об обновлении особо не думаю, а вот ОСь боюсь. Как потом активировать? Плюс, как-то устанавливала SP3 с диска, вроде, всё нормально, но потом категорически не хотели устанавливаться звук и ещё много чего из важного. И к вопросу о Адобе. Как понимаю, его надо обновлять с сайта Адоба. А он не будет потом глючить или просить лицензию? Всё ж у меня сейчас пиратка.
    _______________
    Ещё есть вопрос по поводу портов. ИМХО, слишком их много. Как понимаю, просьбу о закрытии нужно создавать в новой теме?
    Последний раз редактировалось ikona; 09.05.2010 в 05:31.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - поставте Adobe Reader 9.3 или удалите старый - не должен глючить и не должен просить лицензию

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Цитата Сообщение от ikona Посмотреть сообщение
    как в недействующей? Эта ХР устанавливалась с нуля с предварительным полным форматом.
    с помощью AVZ добавьте C:/Windows.0/system32/sfc_os.dll в карантин и пришлите по правилам. Файл замените чистым из дистрибутива windows (должен замениться без проблем в режиме нормально работы ОС)
    Цитата Сообщение от polword Посмотреть сообщение
    Ещё есть вопрос по поводу портов. ИМХО, слишком их много.
    http://www.saule-spb.ru/library/wwdc.html

  11. #10
    Junior Member Репутация
    Регистрация
    09.05.2010
    Сообщений
    14
    Вес репутации
    51
    AVZ добавлять его категорически не хочет, пишет об ошибке прямого чтения, хотя работая в безопасном режиме. Так что архивирую обычным способом с установкой пароля.


    Цитата Сообщение от миднайт Посмотреть сообщение
    Файл замените чистым из дистрибутива windows (должен замениться без проблем в режиме нормально работы ОС)
    Вот в этом-то и проблема. Я не могу войти в консоль восстановления! При запуске диска, он пишет, что для загрузки консоли надо нажать F2 (На R вообще не реагирует), а при нажатии на F2 просит дискету, которой отродясь не было. Если на этом шаге давить на R, то он снова пытается загрузится с флопа, а т.к. не выходит, продолжает обычную установку. Плюс ко всему, я никогда консолью не пользовалась, хотя и читала сайт Майкрософта по этой части.

    Файлик высылаю.

    UPD: с консолью кое-как справилась, правда, файл отказался копироваться по месту назначения (невозможно скопировать файл в указанный путь). Поэтому пришлось его копировать в другую папку, а оттуда уже в безопасном режиме ставить на место. Но(!) заменятся он не захотел всё равно (файл с указанным именем уже существует), поэтому пришлось оригинал переименовать и поставить в другое место, а здоровый файл поставить. После замены исходный файл, находящийся уже в другой папке всё равно отказался удалятся (диск переполнен или защищён от записи). Вот скан с вирустотал уже заменённого файла http://www.virustotal.com/ru/analisi...e21-1273422594 так что боюсь, в моём случае это просто патч ОСи, потому как ни в чём эдаком эта зверюга себя не проявляет. Ничего не тормозит, не глючит, нет превышения трафика по сети и т.д.
    Последний раз редактировалось ikona; 09.05.2010 в 20:32.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Вероятно это фолс антивирусов. У вас сборка windows? Не "зверь" случаем?

  13. #12
    Junior Member Репутация
    Регистрация
    09.05.2010
    Сообщений
    14
    Вес репутации
    51
    Нет, не "Зверь" диск прислал знакомый сисадмин с пометкой "WinLite". Что сие такое - не знаю, вроде, от стандартного пака не отличается. Примочек не имеет. Разве что, автоматом стоял автовход, хотя сразу при установке было создано 3 учётки. Единственное, что странно, правда, это было на всех дистрибах, установленных на этот комп - сразу после входа в учётку на доли секунд появляется какое-то окошко в верхней трети экрана (ближе к центру), но оно тут же закрывается. Собственно, я успеваю заметить лишь очертания границ окошка (стандартное, белое), но как-то подловить его не выходит.

    Собственно, я почему взялась за проверки и т.д. ВКонтакте достали блокировки страницы "за спам", хотя я параноик и по ссылкам не хожу, да и пароли не 1234 выбираю. Система как показало исследование, вроде бы, чистая. Причём, это по исследованиям и Курилки, и онлайновского Нод32, и некоторых проверок на троянцев, и регулярной проверки созданных недавно файлов на предмет выявления чего-то "интересного". ВКонтакте работаю под ФФ с полным набором подписок + NoScript и Flashblock. Однако ж, ему что-то всё равно не нравится (или админам сайта делать нечего, потому и блочат всех подряд).
    Потом в упор не понимаю, почему же Каспер нашёл зверя в Windows.0, когда этой папки нет? И почему же другие онлайн-сканеры не начали ругаться на этот файлик, лежащий у меня в Windows? Только AVP и вирустотал при принудительной загрузке.
    Последний раз редактировалось ikona; 09.05.2010 в 23:16.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Подождите немного мы этот файл перепроверим.

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Пропатчен...
    Сердце решает кого любить... Судьба решает с кем быть...

  16. #15
    Junior Member Репутация
    Регистрация
    09.05.2010
    Сообщений
    14
    Вес репутации
    51
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Пропатчен...
    И что в итоге Вы рекомендуете делать?

    Может Контакт блокировать из-за этого зверька? Описание толкового не нашла, как и не нашла информации по деструктивной деятельности.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Копируете этот файл из диска с дистрибутивом (либо с другой идентичной системы) в отдельную папку и заменяете в безопасном режиме (либо загрузившись с любого доступного live cd) в папках C:\WINDOWS\system32\ и C:\WINDOWS\system32\dllcache\

  18. #17
    Junior Member Репутация
    Регистрация
    09.05.2010
    Сообщений
    14
    Вес репутации
    51
    Последний лог с вирустотал был с уже заменённого файлика правда, удалятся оригинальный всё равно не захотел, так и пришлось его оставить в другой папке, а за место него поставить с диска.

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Проделайте замену файла загрузившись с live cd
    Файл в аттаче, его возьмите.
    Вложение 236695

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \sfc_os.dll - Trojan.Win32.Patched.hp


  • Уважаемый(ая) ikona, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 17.12.2010, 16:44
    2. Ответов: 6
      Последнее сообщение: 06.03.2009, 01:53
    3. Ответов: 8
      Последнее сообщение: 22.02.2009, 04:13
    4. Ответов: 11
      Последнее сообщение: 22.02.2009, 03:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01330 seconds with 19 queries