Показано с 1 по 19 из 19.

Аваст блокирует Руткит sfc.sys (заявка № 74857)

  1. #1
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    28

    Thumbs up Аваст блокирует Руткит sfc.sys

    Доброе время суток, господа хелперы!
    Помогите, чем можете. Предыстория проблемммы - при запуске любых ехе аваст стал блокировать некий URL, я решил откатить систему, на более ранний период (раньше бывали похожие проблеммы и успешно решались таким способом), но оказалось, что точки восстановления отсутствуют, хотя система восстановления была включена. Как раз апдейтом загрузилось мартовское средство УВП от майкрософт и я им воспользовался - удалил один файл(отчета нет), проблема усугубилась - система стала виснуть, спасал рестарт, при подлюченном интернете невозможно было запустить ни IE7 ни Opera, хотя в БР все летало отлично. Нашел ваш форум, выполнил рекомендации. Теперь почти все отлично, только при запуске Аваст блокирует Руткит sfc.sys и по прежнему при подключенном инете при запуске IE7 он тут же выключается(в автономном режиме работает), других лагов не замеченно.
    Ссори за много букв. Логи прилагаю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000075-0000-0010-8000-00AA00389B71}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{10003000-1000-0000-1000-000000000000}');
     DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
     QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\3669d174.exe','');
     DeleteService('jnv4_mib');
     QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\jnv4_mib.sys','');
     DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\jnv4_mib.sys');
     DeleteFile('C:\WINDOWS\system32\3669d174.exe');
     DeleteFile('C:\WINDOWS\svchost.exe');
     DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    28
    Новые логи
    По карантину не уверен, то ли я прислал?
    Вложения Вложения

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,239
    Вес репутации
    3015
    Цитата Сообщение от SAL_AVAT Посмотреть сообщение
    По карантину не уверен, то ли я прислал?
    Не то. Но там тоже зверек
    Прочтите Приложение 3 правил

    Выполните скрипт в AVZ
    Код:
    begin
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
    DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполните скрипт в AVZ
    Код:
    begin
    QuarantineFile('C:\Recycled\Q330995.exe','');
    end.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    28
    Ура! Аваст замолчал, но IE все равно выключается, может это уже что с настройками, брадмауером?

    Сори второй код не видел , карантин прислал до его выполнения , переделаю

    Код:
    begin
    QuarantineFile('C:\Recycled\Q330995.exe','');
    end.
    AVZ в протоколе пишет про ошибку прямого чтения карантина
    Заархивировал новый virus.zip по правилам, высылаю
    Последний раз редактировалось SAL_AVAT; 30.03.2010 в 00:05.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,239
    Вес репутации
    3015
    C:\Recycled\Q330995.exe поищите и, если найдется, запакуйте с паролем virus и пришлите по красной ссылке

    Сделайте такой лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    28
    Цитата Сообщение от thyrex Посмотреть сообщение
    C:\Recycled\Q330995.exeQ330995.exe поищите и, если найдется, запакуйте с паролем virus и пришлите по красной ссылке

    Сделайте такой лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Файл Q330995 поиск не нашел
    Лог от проверки Malwarebytes Antimalware прилагаю
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    удалите в MBAM
    Код:
    Заражено ключей реестра:
    HKEY_CLASSES_ROOT\connectionservices.connectionservices (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\connectionservices.connectionservices.1 (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{8cb0d898-a6a2-48c3-bbd7-862f85b18d46} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\Typelib\{431d251c-b43a-47d7-b4f4-07a101b432d6} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Trojan.BHO) -> No action taken.
    
    Заражено значений реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    
    Заражено файлов:
    C:\Documents and Settings\user\Desktop\CVgs141\vgsmod141.exe (Trojan.Bancos) -> No action taken.
    C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
    C:\Documents and Settings\user\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
    C:\WINDOWS\desktop.html (Trojan.FakeAlert) -> No action taken.
    C:\WINDOWS\Downloaded Program Files\egdhtml_pack.inf (Adware.EGDAccess) -> No action taken.
    C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
    C:\WINDOWS\tmlpcert2005 (Adware.EGDAccess) -> No action taken.

  10. #9
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    28
    Все удалил как посоветовали, но что то выключает IE, иногда страница успевает загрузиться, в режиме без надстроек тоже не работает, работает только в автономном режиме до подключения интернета.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,239
    Вес репутации
    3015
    Такой лог сделайте http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    28
    Все сделал, вот лог
    Вложения Вложения

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,239
    Вес репутации
    3015
    C:\WINDOWS\System32\sfcfiles.dll восстановите с диcтрибутива http://virusinfo.info/showthread.php?t=51654

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\huadio.tmp
    mslaugh.exe
    
    Driver::
    autorun
    
    Folder::
    
    Registry::
    [HKEY_LOCALE_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "Windows Automation"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    28
    Выполнил, прикрепил новый лог
    Вложения Вложения

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,239
    Вес репутации
    3015
    Что с проблемой на данный момент?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    28
    Все отлично работает кроме IE7 - запускается и сразу пропадает

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,239
    Вес репутации
    3015
    Установите Internet Explorer 8
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    29.03.2010
    Сообщений
    9
    Вес репутации
    28
    К сожалению ни русская ни английские версии не устанавливаются, чтож буду пользоваться Opera.
    Огромное спасибо за оказанную помощь, главная проблемма решена, спасибо!!!

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,239
    Вес репутации
    3015
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.641, AVAST4: Win32:SFCPatch [Trj] )


  • Уважаемый(ая) SAL_AVAT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Аваст часто блокирует ceryti.in
      От Евгений Караев в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.06.2012, 20:10
    2. Аваст блокирует вредоносный сайт
      От оксана91 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 11.03.2012, 15:25
    3. Аваст блокирует вредоносный сайт
      От igor.cononow в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 26.04.2011, 16:00
    4. Аваст блокирует работу Internet Explorer
      От дсл в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.03.2011, 22:55
    5. Аваст орет,что обнаружен Руткит (заявка №2264)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 11.02.2010, 03:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01635 seconds with 17 queries