-
Junior Member
- Вес репутации
- 58
Компьютер видимо заражен!
Симптомы следующие:
1. Не запускается Internet Explorer - вылетает сообщение об ошибке.
2. Google Chrome после примерно 1 минуты работы выдает сообщение о том, что невозможно открыть страницу.
3. После установки антивируса (NOD) и перезагрузки ПК, монитор антивируса не загружается.
4. В трее нет никаких значков.
Помогите пожалуйста разобраться. Логи, сделанные в соответствии с правилами во вложении...
Последний раз редактировалось anat9; 15.06.2011 в 00:32.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы, защитное ПО.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe','');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин прислать согласно правилам. Логи повторить.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
ARMA9000,
карантин выслал, логи во вложении...
Последний раз редактировалось anat9; 15.06.2011 в 00:32.
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша.');
end
else
begin
AddToLog('Файл sfcfiles.dll в кеше не прошел по базе безопасных или отсутствует!');
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386.');
end
else
begin
AddToLog('Файл sfcfiles.dll в i386 не прошел по базе безопасных или отсутствует!');
end;
end;
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
SaveLog('sfcfiles.log');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Обновите базы AVZ и сделайте новые логи,
а также прикрепите файл sfcfiles.log из папки с AVZ.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
thyrex,
лог во вложении...
Последний раз редактировалось anat9; 15.06.2011 в 00:32.
-
Junior Member
- Вес репутации
- 58
Bratez,
логи во вложении...
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось anat9; 15.06.2011 в 00:32.
-
1. Удалите в MBAM:
Код:
Заражённые файлы:
c:\documents and settings\Admin\local settings\Temp\0.3382674067646172.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.6657918774139138.exe (Trojan.Dropper) -> No action taken.
Да и вообще полезно очистить папку c:\documents and settings\Admin\local settings\Temp полностью.
2. Файл C:\WINDOWS\system32\sfcfiles.dll восстановите из дистрибутива или скопируйте из здоровой системы той же версии.
В остальном все нормально.
Отпишитесь о проблемах.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
Bratez,
1. Удалил.
2. А нужно ли его восстанавливать? Посмотрел на 2-х здоровых системах - такого файла там нет.
-
2. А нужно ли его восстанавливать? Посмотрел на 2-х здоровых системах - такого файла там нет.
Да, нужно.
-
-
- Восстановите файл C:\WINDOWS\System32\sfcfiles.dll из дистрибутива или отсюда
-
-
Junior Member
- Вес репутации
- 58
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
теперь все нормально работает
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Zapchast.ets ( DrWEB: Trojan.WinSpy.1000, BitDefender: Trojan.Generic.KDV.140022, NOD32: Win32/Agent.OSS trojan, AVAST4: Win32:Parchood-B [Trj] )
- c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.997, BitDefender: Gen:Variant.Kazy.10709, AVAST4: Win32:WinSpy-HH [Trj] )
-