-
Junior Member
- Вес репутации
- 53
Не могу вылечить файл mssfc.dll
С помощью DrWeb CureIT нашел троянца в файле mssfc.dll. Но при попытке вылечить этот файл CureIT на нем "застревает" и дальше проверку не проходит. Так же есть проблемы с доступом в инет: для того чтоб зайти на сайт уходит по несколько минут.
Логи сделал и приложил. Посмотрите пожалуйста
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Alexa3310, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('%System32%\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DelBHO('710EB7A1-45ED-11D0-924A-0020AFC7AC4D');
DelBHO('2C72A1C0-C3A9-49F3-942D-AD70A765AF7B');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
Смените все пароли.
-
-
Junior Member
- Вес репутации
- 53
скрипты выполнил
карантин отправил
лог mbam тоже есть, могу приложить
-
Сообщение от
Alexa3310
лог mbam тоже есть, могу приложить
Приложите, пожалуйста.
Сообщение от
hedgars
Сделайте повторные логи.
-
-
Junior Member
- Вес репутации
- 53
новые логи и лог mbam приложил
Последний раз редактировалось Alexa3310; 31.07.2011 в 00:09.
-
Замените файлы
Код:
c:\WINDOWS\system32\mssfc.dll
c:\WINDOWS\system32\sfcfiles.dll
на чистые из дистрибутива.
Удалите в MBAM:
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC} (Trojan.BHO) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Nvchost (Trojan.Goldun) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> No action taken.
Зараженные папки:
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Зараженные файлы:
c:\documents and settings\администратор\local settings\Temp\5.tmp (Trojan.Dropper.Gen) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\8.tmp (Trojan.Dropper.Gen) -> No action taken.
c:\documents and settings\администратор\local settings\Temp\setup_m.exe (Trojan.Dropper) -> No action taken.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
Сделайте повторный лог MBAM.
-
-
Junior Member
- Вес репутации
- 53
sfcfiles.dll заменил из дистрибутива
эту библиотеку (mssfc.dll) в дистрибутиве не нашел можно ли этот файл просто удалить без последствий?
новый лог приложил
-
Да, пожалуй можно.
Удалите в MBAM:
Код:
Зараженные файлы:
c:\WINDOWS\system32\mssfc.dll (Trojan.Patch) -> No action taken.
Сделайте повторный лог MBAM.
-
-
Junior Member
- Вес репутации
- 53
удалил через MBAM
c:\WINDOWS\system32\mssfc.dll (Trojan.Patch) -> No action taken.
сделал повторные логи
-
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
hedgars
Чисто, что с проблемой?
проблема исчезла все в порядке СПАСИБО!!!!! тему закрываем
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\mssfc.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Variant.Patched.1, AVAST4: Win32:Small-NTF [Trj] )
-