-
Junior Member
- Вес репутации
- 49
!HELP - не могу найти вирус
Через IE подхватил вымогателя
удалил его с помощью DRWEB CureIT
C:\DOCUME~1\prof\LOCALS~1\Temp\smss.exe инфицирован Trojan.MulDrop1.53621 - неизлечим - перемещен
C:\Documents and Settings\prof\Local Settings\Temporary Internet Files\Content.IE5\D177LTGB\123[1].exe инфицирован Trojan.MulDrop1.53621 - неизлечим - удален
Затем еще раз прошел касперским
Удалено троянская программа Backdoor.Win32.Spammy.fb C:\System Volume Information\_restore{EBD96A98-0BE2-4D89-BDB3-7EB3A238E5E0}\RP376\A0044217.exe 24.11.2010 18:45:36
Удалено троянская программа Trojan-Downloader.Win32.Piker.cxa C:\System Volume Information\_restore{EBD96A98-0BE2-4D89-BDB3-7EB3A238E5E0}\RP376\A0044229.exe 24.11.2010 19:30:09
Удалено троянская программа Backdoor.Win32.Lavandos.c C:\Program Files\Internet Explorer\setupapi.dll 10.12.2010 16:01:08
Удалено троянская программа Backdoor.Win32.Lavandos.c C:\Program Files\Mozilla Firefox\setupapi.dll 10.12.2010 16:27:19
Удалено троянская программа Backdoor.Win32.Lavandos.c C:\Program Files\Opera\setupapi.dll 10.12.2010 16:27:22
Все равно при обращении в интернет даже через telnet каспер блокирует запросы:
14.12.2010 7:03:45 URL-адрес: zindrat.com/dup/page.php?session=unknown&n=a2&article=rnd&do=3D369 42A3A410435&lr=0 База подозрительных веб-адресов: обнаружено
14.12.2010 7:04:20 URL-адрес: zindrat.com/dup/page.php?key=3D36942A3A410435&n=index&do=0&article =a7 База подозрительных веб-адресов: доступ заблокирован
14.12.2010 7:04:20 URL-адрес: zindrat.com/dup/page.php?client=a2&uid=a7&lr=3D36942A3A410435&link =0&cookie=a3&do=a6&query=a5 База подозрительных веб-адресов: доступ заблокирован
после заражения долго открывается папки,
зависает WORD через 3-5 сек после открытия
и какая то прога постоянно ломится в интернет которую блокирует каспер (писал выше)
Последний раз редактировалось olejah; 14.12.2010 в 11:15.
Причина: Активные, опасные ссылки деактивированы
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сами прописывали? Если нет, профиксите в HijackThis
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 10.7.19.23:3128
1.Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU)
2.Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\server\NETLOGON\update.Lnk','');
QuarantineFile('D:\SMS\sms\SMS_Sender.exe','');
if FileExists ('%windir%\system32\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
begin
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
end
else
begin
AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
end
else
begin
AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
SaveLog('sfcfiles.log');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- файл sfcfiles.log прикрепите к сообщению
-
-
Junior Member
- Вес репутации
- 49
Карантин отправил
правильный второй файл (quarantine.zip - 22b)
первый упаковал сам , потом только увидел скрипт
после выполнения скрипта и перегрузок
копм стал работать заметно быстрее
СПАСИБО.
для проверки отправляю логи.
-
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 0
- В ходе лечения вредоносные программы в карантинах не обнаружены
-