-
Junior Member
- Вес репутации
- 51
Засел руткит, немогу вылечить
Началось с того что при запуске браузеров, они тут же падали. При каждой загрузке NOD32 убивал sfc.sys (Win32/Rootkit.Agent.NSY). Нашел похожую проблему на virusinfo, выполнил скрипт, на sfc.sys больше не ругается, но проблема осталась - браузеры не работают.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы: включено -- надо отключить. ПунтоСвиччер у Вас работает?
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\63c25cc0.exe','');
QuarantineFile('monvro.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\gwJTVWE.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a7huo3e1.SYS','');
DeleteFile('\\?\globalroot\systemroot\system32\gwJTVWE.exe');
DeleteFile('C:\WINDOWS\system32\63c25cc0.exe');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по Правилам. Повторите логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 51
Восстановление системы отключил, ПунтоСвичтер на время скана оключал.
Хм, в карантине пусто, высылаю логи.
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\LINKINFO.dll','');
// DeleteFile('C:\WINDOWS\LINKINFO.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Карантин прислать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 51
-
Результат проверки linkinfo.dll
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\LINKINFO.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи + лог МВАМ
Скачайте RSIT.
Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\LINKINFO.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Логи повторить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 51
Высылаю логи AVZ.
MBAM долго сканирует систему, логи пришлю позже.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Удалите в МВАМ:
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Катюша.FLASH\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\rasqervy.dll (Malware.Trace) -> No action taken.
C:\WINDOWS\sdfinacs.dll (Malware.Trace) -> No action taken.
C:\WINDOWS\sdfixwcs.dll (Malware.Trace) -> No action taken.
Перезагрузите ПК. Что с проблемой?
-
-
Junior Member
- Вес репутации
- 51
Браузеры заработали после удаления LINKINFO.dll.
То что найдено MBAM тоже удалил.
Большое спасибо всем за помощь.
-
Если далеко не убежали, то отзовитесь надо проверить один файл.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 51
Не далеко убежал
Какой файл?
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\dllcache\sfcfiles.dll','');
QuarantineFile('C:\ws2_32.dll','');
QuarantineFile('C:\WINDOWS\system32\ws2_32.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Не получается сделать карантин: AVZ пишет что невозможно произвести прямое чтение.
-
- восстановите файл C:\WINDOWS\system32\ws2_32.dll из дистрибутива.
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
SaveLog('sfcfiles.log');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
SaveLog('sfcfiles.log');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
SaveLog('sfcfiles.log');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
SaveLog('sfcfiles.log');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
SaveLog('sfcfiles.log');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог RSIT
- файл sfcfiles.log прикрепите к сообщению
Последний раз редактировалось polword; 11.08.2010 в 20:36.
-
-
Junior Member
- Вес репутации
- 51
К сожалению хозяин компа пока уехал, отпишусь когда он вернется.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\linkinfo.dll - Trojan.Win32.Delf.abuq ( DrWEB: Trojan.Siggen1.52033, BitDefender: Trojan.Generic.4336394, AVAST4: Win32:Refpron-AC [Trj] )
-