Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Здесь должен быть вирус SFC.SYS... (http://forum.oszone.net/showthread.php?t=197630)

St_Klaus 25-01-2011 17:23 1597033
Здесь должен быть вирус SFC.SYS...
 
Вложений: 3
Здравствуйте!
Меня направили к вам коллеги из соседнего форума, где обсуждались синие экраны смерти с кодом 0x0000008E... Мне указали на наличие в системе вируса SFC.SYS... Такого файла на диске не обнаружено.

Произвел все операции, предписанные вами перед лечением.
1. Свежий CureIt обнаружил файл C:\Windows\System32\sfcfiles.dll и указал на троян Trojan.WinSpy.925 (одна штука). Никаким действиям по лечению сей троян не поддается, т.е. просто никаких действий кнопки меню CureIt на него не оказывают.
Для наглядности прикрепляю экран CureIt с указанным файлом. Здесь он представлен дважды по причине двукратной проверки.
2. Обновленный AVZ4 вообще не нашел зараженных файлов. Логи от AVZ4 и от RSIT.exe получены и прилагаются.

Убедительно прошу вас помочь - посмотрите, пожалуйста, все ли в системе чисто?
Спасибо.

Drongo 25-01-2011 18:44 1597091
goredey, zirreX, ребята, определитесь кто будет лечить систему.

zirreX 25-01-2011 18:50 1597094
Ваши файлы?

Код:
C:\TEST\Net_Unit\Project1.exe
C:\TEST\Programms\Prog16\Project1.exe
C:\TEST\NamePipes\Client\NpClient.exe
C:\TEST\TestMail\Project1.exe
Версия 4.34 устарела. Скачайте AVZ v4.35 обновите базы (Файл -- Обновление баз).

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\DOCUME~1\Ivan\LOCALS~1\Temp\PH0cw0Xp.sys','');
 QuarantineFile('0.exe','');
 QuarantineFile('digiwet.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
 CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
 DeleteFile('%windir%\system32\sfcfiles.bak');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 DeleteFile('C:\Program Files\Common Files\keylog.txt');
 DeleteFile('0.exe');
 DeleteFile('C:\DOCUME~1\Ivan\LOCALS~1\Temp\PH0cw0Xp.sys');
 DeleteFile('digiwet.dll');
 DelBHO('{ACB1E670-3217-45C4-A021-6B829A8A27CB}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','previousProjectorProcessID');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Microsoft WinUpdate');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
RegKeyStrParamWrite('HKLM','system\currentcontrolset\control\securityproviders','SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_Activate;
 ExecuteRepair(19);
 ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.


Сделайте новые логи AVZ и RSIT.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Код:
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3.
Установите Service Pack 3 (потребуется активация!).

Обновите Internet Explorer до восьмой версии
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

Установите все обновления Windows

Обновите Adobe Reader до последней версии.

St_Klaus 26-01-2011 13:09 1597574
Вложений: 3
Цитата:
Цитата zirreX
Ваши файлы?
Код:
C:\TEST\Net_Unit\Project1.exe
C:\TEST\Programms\Prog16\Project1.exe
C:\TEST\NamePipes\Client\NpClient.exe
C:\TEST\TestMail\Project1.exe »
Выполнил последовательно Ваши рекомендации. Логи прилагаю.
С благодарностью сообщаю, что по дороге при какой-то из очередных перезагрузок оказалось, что исходная проблема решилась...
Заодно слегка подчищена система.

Спасибо за внимание и содействие.
С искренним уважением. St_Klaus.

zirreX 26-01-2011 16:07 1597702
Код:
C:\TEST\Net_Unit\Project1.exe
C:\TEST\Programms\Prog16\Project1.exe
C:\TEST\NamePipes\Client\NpClient.exe
C:\TEST\TestMail\Project1.exe
+
Код:
c:\TEST\svn\working\m.sfx
Значит ваши?


Удалите в MBAM:

Код:
Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> No action taken.
HKEY_CLASSES_ROOT\coolplay (Trojan.DNSChanger) -> No action taken.

Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Value: host -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Value: bf -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Value: bk -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Value: iu -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Value: mu -> No action taken.

Заражённые папки:
c:\program files\microsoft common (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\documents and settings\Ivan\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
Больше ничего плохого в логах не вижу. :)

Обязательно смените все пароли!

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите темп-папки, кэш проводников и корзину:
Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Регулярно устанавливайте обновления Windows.
4.Регулярно обновляйте антивирусные базы.

С уважением, Дмитрий!


Время: 11:47.

Время: 11:47.
© OSzone.net 2001-