Опять вернулся старый вирус, блокирующий анивирусные сайты, на этот раз доработанный - все виды avz, hijackthis и rsit тоже не грузятся , прикрепляю логи avp tools
Опять вернулся старый вирус, блокирующий анивирусные сайты, на этот раз доработанный - все виды avz, hijackthis и rsit тоже не грузятся , прикрепляю логи avp tools
Выполните скрипт
После перезагрузки выполните второй скриптКод:begin SearchRootkit(true,true); SetAVZGuardStatus(true); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll ',''); QuarantineFile('C:\WINDOWS.0\system32\mssfc.dll',''); QuarantineFile('C:\WINDOWS.0\system32\ssysqd.exe',''); QuarantineFile('C:\WINDOWS.0\system32\d99ea17b.exe',''); QuarantineFile('C:\Program Files\Gajim\bin\gajim.exe',''); QuarantineFile('C:\Program Files\Common Files\IntraVision Soft\lsass.exe',''); QuarantineFile('C:\WINDOWS.0\System32\Drivers\sfc.SYS',''); QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll',''); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); QuarantineFile('c:\windows.0\system32\cthelper.exe',''); DeleteFile('C:\Program Files\Common Files\IntraVision Soft\lsass.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-21-776561741-1292428093-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Run','shell'); DeleteFile('C:\WINDOWS.0\system32\d99ea17b.exe'); DeleteFile('C:\WINDOWS.0\system32\ssysqd.exe'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll '); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Закачайте полученный карантин по красной ссылке вверху. Попробуйте сделать логи AVZКод:Begin CreateQurantineArchive('C:\quarantine.zip'); End.
The Truth is Out There
Всё сделал.
Файл sfc.sys замените на чистый с дистрибутива http://virusinfo.info/showthread.php?t=51654. Затем лог virusinfo syscheck повторите
The Truth is Out There
sfc.sys А это разве не вирус? Где я его возьму, в других дистрибутивах windows его нет
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\Program Files\Common Files\BinarySense\hlAPP.dll',''); QuarantineFile('C:\WINDOWS.0\System32\drivers\afd.sys',''); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\sfcfiles.dll',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); SaveLog('sfcfiles.log'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); SaveLog('sfcfiles.log'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); SaveLog('sfcfiles.log'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); SaveLog('sfcfiles.log'); end; end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); SaveLog('sfcfiles.log'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); SaveLog('sfcfiles.log'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); SaveLog('sfcfiles.log'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); BC_ImportALL; ExecuteSysClean; BC_DeleteFile('%windir%\System32\sfcfiles.bak'); BC_DeleteSvc('sfc'); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
- файл sfcfiles.log прикрепите к сообщению
Всё сделано
- Восстановите файл C:\WINDOWS.0\system32\sfcfiles.dll из дистрибутива.
Благодарю, сейчас вроде больше нет никаких проявлений вируса
Профиксите в HijackThis как "профиксить в HiJackThis"
В остальном подозрительного нет.Код:O18 - Protocol: hddlife - {BD758015-47D9-477A-8873-4B688A2BC0E2} - "C:\Program Files\Common Files\BinarySense\hlAPP.dll" (file missing)
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 37
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.cbh ( DrWEB: Trojan.WinSpy.935, BitDefender: Trojan.Spy.Agent.OFN, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Patched-TI [Trj] )
- c:\\windows.0\\system32\\d99ea17b.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4720806, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )
- c:\\windows.0\\system32\\sfcfiles.dll - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.925, BitDefender: Gen:Variant.Kazy.5984, AVAST4: Win32:Small-NTF [Trj] )
- c:\\windows.0\\system32\\ssysqd.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )
Уважаемый(ая) Brightred, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.