-
Junior Member
- Вес репутации
- 53
При загрузке sfc.sys с Rootkit.Agent.NSY
При загрузке Nod32 ловит Win32/Rootkit.Agent.NSY в C:\WINDOWS\system32\drivers\sfc.sys:
24.06.2010 10:59:20 Защита в режиме реального времени файл
C:\WINDOWS\system32\drivers\sfc.sys модифицированный Win32/Rootkit.Agent.NSY троянская программа
очищен удалением - изолирован NT AUTHORITY\SYSTEM
Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\winlogon.exe.
Полная проверка ничего не находит. Что же это за зараза у меня сидит? как с ней бороться?
Заранее спасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сделайте лог - virusinfo_syscure.zip
После перезагрузки Нод опять орёт на этот файл?
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,\\?\globalroot\systemroot\system32\3Oy4io4.exe,
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
-
-
+
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
QuarantineFile('\\?\globalroot\systemroot\system32\3Oy4io4.exe','');
BC_DeleteFile('\\?\globalroot\systemroot\system32\3Oy4io4.exe');
BC_Activate;
end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
DefesT
Сделайте лог - virusinfo_syscure.zip
После перезагрузки Нод опять орёт на этот файл?
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,\\?\globalroot\systemroot\system32\3Oy4io4.exe,
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
Упс, забыл сразу сделать virusinfo_syscure.zip.
После перезагрузки Нод опять находит и удаляет его.
в Hijackthis пофиксил.
Сообщение от
AndreyKa
+
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
QuarantineFile('\\?\globalroot\systemroot\system32\3Oy4io4.exe','');
BC_DeleteFile('\\?\globalroot\systemroot\system32\3Oy4io4.exe');
BC_Activate;
end.
Пришлите карантин через ссылку
Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделал.
-
Отключите восстановление системы
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\thumbs.db','');
QuarantineFile('C:\Documents and Settings\Nebel\Local Settings\Temp\ОЗУ\iec104.dll','');
DeleteFile('C:\Documents and Settings\Nebel\Local Settings\Temp\ОЗУ\iec104.dll');
DeleteFile('C:\thumbs.db');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новый лог virusinfo_syscheck.zip и отпишитесь о проблеме.
-
-
Junior Member
- Вес репутации
- 53
Скрипт выполнил.
Карантин отправил.
Лог сделал.
При загрузке Нод ничего не находит Что дальше нужно сделать?
-
Не помешает очистить карантин и провести процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 53
Спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.663, BitDefender: Gen:Variant.Patched.1, AVAST4: Win32:Patched-OT [Trj] )
-