zindrat.com и caymaris.net

[tauretarie]

Здравствуйте.
Вчера, после того как зашел на один сайт, началась странная загрузка Java приложения, после чего Касперский предупредил о каких-то проблемах.

Затем антивирус многократно предупреждал о попытках соединения с сайтами zindrat.com и caymaris.net. А в итоге компьютер не выключается, вместо этого выскакивает синий экран с ошибкой и он перезагружается.

[Bratez]

Внимание !!! База поcледний раз обновлялась 07.06.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.32
...
Восстановление системы: включено

1. Скачайте AVZ 4.35 и обновите ее базы!

2. Отключите восстановление системы!

3. Выполните скрипт в AVZ:

Код:

begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  ClearQuarantine;
  QuarantineFile('C:\WINDOWS\system32\XDva359.sys','');
  QuarantineFile('C:\WINDOWS\system32\XDva346.sys','');
  QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
  QuarantineFile('%windir%\system32\sfcfiles.dll','');
  RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
  if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
    begin
      CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
      AddToLog('Замена sfcfiles.dll успешно произведена из кеша.');
    end
  else
    begin
      AddToLog('Файл sfcfiles.dll в кеше не прошел по базе безопасных или отсутствует!');
      if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
        begin
          CopyFile('%windir%\ServicePackFiles\i386\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
          AddToLog('Замена sfcfiles.dll успешно произведена из i386.');
        end
      else 
        begin
          AddToLog('Файл sfcfiles.dll в i386 не прошел по базе безопасных или отсутствует!');
        end;
    end;
  DeleteFile('%windir%\system32\drivers\sfc.sys');
  DeleteFile('%windir%\system32\sfcfiles.bak');
  DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
  DeleteFile('C:\WINDOWS\system32\XDva346.sys');
  DeleteFile('C:\WINDOWS\system32\XDva359.sys');
  BC_ImportALL;
  ExecuteSysClean;
  BC_Activate;
  SaveLog('sfcfiles.log');
  RebootWindows(true);
end.

Компьютер перезагрузится.

4. Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=97091).

5. Сделайте новые логи + прикрепите файл sfcfiles.log из папки с AVZ.

[tauretarie]

Вот.

[Bratez]

В логах все нормально.
Проблема решена?

[tauretarie]

Да. Все предупреждения кончились. Ошибки при перезагрузке больше нет.
Спасибо большое.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.czu ( DrWEB: Trojan.Siggen2.18384, BitDefender: Trojan.Generic.5431470, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Parchood-B [Trj] )
  2. c:\\windows\\system32\\sfcfiles.dll - Trojan-Spy.Win32.Agent.bowm ( DrWEB: Trojan.WinSpy.988, BitDefender: Gen:Variant.Kazy.10709, AVAST4: Win32:Parchood-B [Trj] )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !