Penetrator

24 февраля, 2010

- Закройте/выгрузите все программы кроме Internet Explorer.

Отключите

- ПК от интернета/локальной сети.

- Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\сtfmon.exe','');
QuarantineFile('C:\WINDOWS\system32\АHTОMSYS19.exe','');
QuarantineFile('C:\WINDOWS\system32\s{322882.dll','');
QuarantineFile('c:\windows\system32\deter177\lsass.exe','');
TerminateProcessByName('c:\windows\system32\deter177\lsass.exe');
DeleteFile('c:\windows\system32\deter177\lsass.exe');
DeleteFile('C:\WINDOWS\system32\s{322882.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lsass');
DeleteFile('C:\WINDOWS\system32\АHTОMSYS19.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

- ПК перезагрузится.

- Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Обновите базы avz,

- Сделайте новые логи.

24 февраля, 2010

кажется,все заработало,файлы целы и все стабильно и в норме.Короче говоря,хеппи энд.спасибо.новые логи выложил,запрост отправил-вердикт файл в архиве s{322882.dll повреждён.

24 февраля, 2010

Обновите базы avz,

Сделайте новые логи.

24 февраля, 2010

базы обновил.логи

Изменено 24 февраля, 2010 пользователем neon_3x

24 февраля, 2010

C:\WINDOWS\system32\sfcfiles.dll проверьте на http://www.virustotal.com/

24 февраля, 2010

результаты анализа:

Файл sfcfiles.dll получен 2010.02.24 18:10:34 (UTC)

Текущий статус: закончено

Результат: 0/42 (0%)

Форматированные

Печать результатов Антивирус Версия Обновление Результат

a-squared 4.5.0.50 2010.02.24 -

AhnLab-V3 5.0.0.2 2010.02.24 -

AntiVir 8.2.1.172 2010.02.24 -

Antiy-AVL 2.0.3.7 2010.02.24 -

Authentium 5.2.0.5 2010.02.24 -

Avast 4.8.1351.0 2010.02.24 -

Avast5 5.0.332.0 2010.02.24 -

AVG 9.0.0.730 2010.02.24 -

BitDefender 7.2 2010.02.24 -

CAT-QuickHeal 10.00 2010.02.24 -

ClamAV 0.96.0.0-git 2010.02.24 -

Comodo 4049 2010.02.24 -

DrWeb 5.0.1.12222 2010.02.24 -

eSafe 7.0.17.0 2010.02.24 -

eTrust-Vet 35.2.7326 2010.02.24 -

F-Prot 4.5.1.85 2010.02.24 -

F-Secure 9.0.15370.0 2010.02.24 -

Fortinet 4.0.14.0 2010.02.21 -

GData 19 2010.02.24 -

Ikarus T3.1.1.80.0 2010.02.24 -

Jiangmin 13.0.900 2010.02.24 -

K7AntiVirus 7.10.981 2010.02.23 -

Kaspersky 7.0.0.125 2010.02.24 -

McAfee 5902 2010.02.24 -

McAfee+Artemis 5902 2010.02.24 -

McAfee-GW-Edition 6.8.5 2010.02.24 -

Microsoft 1.5406 2010.02.24 -

NOD32 4892 2010.02.24 -

Norman 6.04.08 2010.02.24 -

nProtect 2009.1.8.0 2010.02.24 -

Panda 10.0.2.2 2010.02.23 -

PCTools 7.0.3.5 2010.02.24 -

Prevx 3.0 2010.02.24 -

Rising 22.34.01.03 2010.02.11 -

Sophos 4.50.0 2010.02.24 -

Sunbelt 5696 2010.02.24 -

Symantec 20091.2.0.41 2010.02.24 -

TheHacker 6.5.1.6.208 2010.02.24 -

TrendMicro 9.120.0.1004 2010.02.24 -

VBA32 3.12.12.2 2010.02.24 -

ViRobot 2010.2.24.2200 2010.02.24 -

VirusBuster 5.0.27.0 2010.02.24 -

Дополнительная информация

File size: 1580544 bytes

MD5...: 0a874046bb7b547864811cff0dd19724

SHA1..: b88eb03a5234f85137fdc9fa4dcd5a0b0b94d158

SHA256: 6041a6300315bdaadc3d86635873ae58f832712d36cc65c94f4370d68a271903

ssdeep: 3072:qb9do/7HtFUipn9tVtjRZSLKKWPY+/eRRYw4a75pGgdRVTmVG3cxmFD9GRM

NujWw:qA/7NFU8tWmg75wgRgG3emFkRMNu

PEiD..: -

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x120d

timedatestamp.....: 0x41107c20 (Wed Aug 04 06:03:12 2004)

machinetype.......: 0x14c (I386)

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xcbf 0xe00 5.88 26f3f85ddf7d183e3679894901dc54b3

.data 0x2000 0x1765b8 0x176600 3.27 7d59a775a26fa1d4b15d6dc95b5eb997

.rsrc 0x179000 0x418 0x600 2.54 3602e2d32d16564d93b70db769379042

.reloc 0x17a000 0x9e56 0xa000 5.76 d5f4de8f8bae56e26c617081b34c746a

( 1 imports )

> ntdll.dll: LdrDisableThreadCalloutsForDll, NtClose, NtQueryValueKey, NtOpenKey, RtlInitUnicodeString, RtlGetVersion, NtTerminateProcess, RtlUnhandledExceptionFilter, RtlUnwind, NtQueryVirtualMemory

( 1 exports )

SfcGetFiles

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Win32 Executable Generic (68.0%)

Generic Win/DOS Executable (15.9%)

DOS Executable Generic (15.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

sigcheck:

publisher....: Microsoft Corporation

product......: Microsoft_ Windows_ Operating System

description..: Windows 2000 System File Checker

original name: sfcfiles.dll

internal name: sfcfiles.dll

file version.: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

24 февраля, 2010

Тогда чисто

Установите SP3(может потребоваться активация)+все последующие обновления

24 февраля, 2010

ну слава Богу))спс,обновы стоят,только да,сп3 нету.тему можно закрывать.

24 февраля, 2010

snifer67, еще раз ошибешься, пристрелю самого

neon_3x, добиваем зверя

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\сtfmon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','сtfmоn.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Новые логи сделайте

26 февраля, 2010

так вот в чем дело!а я то думаю,что с языковой панелью...воспользовался программой CtfmonRemover,затем с диска Windows восстановил нормальный Ctfmon.вроде все уже работает,но скрипт выполню,логи будут,вирус достал уже,глубоко засел!