-
Junior Member
- Вес репутации
- 53
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключив интернет и антивирус, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\System32\servises.exe','');
QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
DeleteFile('C:\WINDOWS\System32\ntos.exe');
DeleteFile('C:\WINDOWS\System32\servises.exe');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=56945).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
После выполнения скрипта симптомы (тормоза) прошли. Карантин выслал. Логи прикрепляю. Смущает, что AVZ снова нашел перехваченную функцию NtConnectPort, перехватчик не определен. Или это нормально?
-
Junior Member
- Вес репутации
- 53
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Заразы больше не видно, плохо только вот это:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Ставьте SP3 + последующие обновления и IE8.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Пофиксил. Все ок. Про XP SP1 и IE6 - задумываюсь, да все рука никак не поднимается . Ну, придется, видно. Many thanks!
-
Junior Member
- Вес репутации
- 53
Я тут вычислил, откуда и как ко мне этот вирус проник. Нашел по крайней мере 9 зараженных web-серверов в рунете, которые распространяют вирусы через такой же механизм. Некоторые из них достаточно популярны. Ну и нашел 2 портала, на которых вирусы собственно хостятся. Эта инфа может быть кому-нибудь полезна, чтобы прекратить распространение?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( AVAST4: Win32:Patched-KP [Trj] )
-