-
Junior Member
- Вес репутации
- 51
Помогите, файл mssfc.dill не лечится и не удаляется
Здравствуйте! Могу ли я отправить файл C:/WINDOWS/System32/sfcfiles.dill заархивированный в AVZ? Есть отчет где-то и RSIT. Думаю, у меня типичная ситуация, все, что нашла везде по теме прочитала, началось с невозможности удалить или вылечить sistem32/mssfc.dil.Я его проверила вроде на VirusInfo, ничего не обнаружено. Стоит Касперский.
Добавлено через 1 час 36 минут
Спасибо огромное за этот сайт! У меня все получилось после того как отправила по ссылке Прислать запрошенный карантин. Только не знаю, надо ли удалять из sistem32 sfcfiles.bak - так он теперь выглядит и что делать дальше? mssfc.dill удалился, как я поняла, он был создан зараженным файлом sfcfiles.dill.
Последний раз редактировалось helen borodina; 02.08.2010 в 04:28.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 51
Отправляю логи. Не уверена, что провильно подльзуюсь опциями при отправке...
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll (file missing)
O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll (file missing)
2.Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
Профиксила, выполнила скрипт, карантин пустой, наверное, потому что я самостоятельно до диагностики прочитала на форуме по этой теме и скопировала скрипт(в чужой, похожей теме) по лечению файла sistem32/sfcfiles.dill, отправила на карантин, файл sistem32/mssfc.dill удалился, а файл sfcfiles.dill превратился в sfcfiles.bak. Потом я запустила Касперского (после своего диагностического отчета, до того, как получила ваши инструкции), и этот bak тоже удалился. Потом я проделала то, что вы мне написали. Отправляю логи.
Последний раз редактировалось helen borodina; 02.08.2010 в 18:25.
-
Junior Member
- Вес репутации
- 51
Извините, что не сразу отвечаю, т.к. долго все делаю и от переутомления допускаю ошибки! Спасибо за помощь!
-
для полной уверенности пришлите файл C:\WINDOWS\system32\sfcfiles.dll запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 51
Я его уже этот файл отправляла самостоятельно вам на карантин, после чего файл sistem32/mssfc.dill изчез (с него все и началось, он не лечился и не удалялся), а файл sistem32/sfcfiles.dill превратился в sfcfiles.bak, а когда я запустила проверку Касперским, он вообще изчез, и теперь его нет. Вообще, после всего, что вы мне сказали сделать, комп стал значительно лучше соображать, ничего не виснет, думаю, все чисто! Где-то я прочитала, что sistem32/sfcfiles.dill надо вернуть, т.к. это системный файл (найти резервную копию), а где-то написано его удалить и все, у меня он сам удалился, вернее Касперский его удалил... Не знаю, что делать. Благодарю вас за помощь!
Последний раз редактировалось helen borodina; 05.08.2010 в 00:36.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
if CheckFile('%System32%\dllcache\sfcfiles.dll')=3 then
CopyFile('%System32%\dllcache\sfcfiles.dll', '%System32%\sfcfiles.dll');
QuarantineFile('%System32%\sfcfiles.dll',''); BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 51
Все сделала, отправляю лог.
-
Это:
Код:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
C:\Documents and Settings\Первая Леди\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
Можете удалить в МВАМ.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 51
Куда вставить этот код? Я уже удалила лог, который отправила. В МВАМ ничего не удаляла.
-
Их вставлять никуда не надо.
как удалить в МВАМ
-
-
Junior Member
- Вес репутации
- 51
Все сделала,удалила то, что указано, вот отправляю лог. Спасибо большое! Будте здоровы!
Проблем-то нет, мне кажется... Все делаю, что вы мне пишете!
Последний раз редактировалось helen borodina; 06.08.2010 в 22:10.
-
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Junior Member
- Вес репутации
- 51
Пожалуйста, ответьте! Пока понять сложно для меня... Скопировать весь текст кроме шапки этого файла и вставить в поле "выполнить скрипт"? Или определенный текст? Help!!!
-
Сообщение от
helen borodina
Скопировать весь текст кроме шапки этого файла и вставить в поле "выполнить скрипт"
- да
-
-
Junior Member
- Вес репутации
- 51
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sfcfiles.dll - Trojan-Spy.Win32.Agent.bigl ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Variant.Patched.1, AVAST4: Win32:Patched-OT [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-