zindrat.com/dub/page...

**Dorn** · 01.02.2011, 03:37

Здравствуйте.
На одном из сайтов сегодня запустилась Java, после чего Avast фиксирует и блокирует попытки перейти на zindrat.com/dub/page... любой программой. Но никакого вируса не находит. Система часто виснет. Удалил setupapi.dll у IE, мозилы, почистил Temp с 614741574.exe. Не помогло. При попытке вызвать диспетчер система виснет.

Помогите избавится.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 01.02.2011, 06:14

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
 QuarantineFile('%windir%\system32\mssfc.dll','');
 DeleteFile('%windir%\system32\drivers\sfc.sys');
 DeleteFile('%windir%\system32\mssfc.dll');
 if FileExists ('%windir%\system32\sfcfiles.dll') then
   begin
    if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
       begin
         AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
       end
      else
       begin
         AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
         QuarantineFile('%windir%\system32\sfcfiles.dll','');
         RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
         if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
           begin
            if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
              begin
               CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
               AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
              end
             else
              begin
               AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
               if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                 begin
                  if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                    begin
                     CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                     AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                    end
                   else
                     AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                 end
                else
                  AddToLog('Файл sfcfiles.dll отсутствует в i386');
              end;
           end
          else
           begin
            AddToLog('Файл sfcfiles.dll отсутствует в кеше');
            if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
              begin
               if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                 begin
                  CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                  AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                 end
               else
                  AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
              end
             else
               AddToLog('Файл sfcfiles.dll отсутствует в i386');
           end;
       end;
   end
  else
   begin
     AddToLog('файл sfcfiles.dll отсутствует в  %windir%\system32\');
     if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
       begin
        if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
          begin
           CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
           AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
          end
         else
          begin
           AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
           if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
             begin
              if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                begin
                 CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                 AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                end
               else
                 AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
             end
            else
              AddToLog('Файл sfcfiles.dll отсутствует в i386');
          end;
       end
      else
       begin
        AddToLog('Файл sfcfiles.dll отсутствует в кеше');
        if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
          begin
           if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
             begin
              CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
              AddToLog('Замена sfcfiles.dll успешно произведена из i386');
             end
           else
              AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
          end
         else
           AddToLog('Файл sfcfiles.dll отсутствует в i386');
       end;
   end;
 DeleteFile('%windir%\system32\sfcfiles.bak');
 SaveLog('sfcfiles.log');
 BC_ImportALL;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_DeleteFile('%windir%\System32\sfcfiles.bak');
 BC_DeleteSvc('sfc');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM

**Dorn** · 01.02.2011, 15:37

Спасибо за помощь.
Вот логи.

**thyrex** · 01.02.2011, 22:54

Что с проблемой?

**Dorn** · 02.02.2011, 02:44

Спасибо.
Больше предупреждений о попытках ломиться на тот сайт не появлялось, система не зависала и svchost.exe не перегружен. Как поступить с зараженным реестром и файлами по логу mbam-log-2011-02-01 (14-29-54).txt?

**миднайт** · 02.02.2011, 02:59

Сообщение от Dorn

Как поступить с зараженным реестром и файлами по логу mbam-log-2011-02-01 (14-29-54).txt?

ничего не трогайте. Деинсталлируйте mbam.
Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

**Dorn** · 04.02.2011, 19:19

Спасибо. Исправил 8 уязвимостей. Теперь всё работает нормально.
Только Firefox пару раз барахлил (открывался через 2 минуты после вызова, и в это время отображаясь в диспетчере не снимался из задач)

**CyberHelper** · 05.02.2011, 19:19

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 7
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\sfcfiles.dll - Trojan-Spy.Win32.Agent.bovn ( DrWEB: Trojan.WinSpy.988, BitDefender: Gen:Variant.Kazy.10709, AVAST4: Win32:Parchood-B [Trj] )

Рекомендации: