Доброго времени суток. При выключении компьютера появляется синий экран STOP: 0x0000008e (0xc0000005 0x8066aeb1 0xb70b4b2c 0x00000000). Также перед этим пропал звук в браузере. Вернул, удалив setupapi.dll в дериктории браузера.(Опера)
Доброго времени суток. При выключении компьютера появляется синий экран STOP: 0x0000008e (0xc0000005 0x8066aeb1 0xb70b4b2c 0x00000000). Также перед этим пропал звук в браузере. Вернул, удалив setupapi.dll в дериктории браузера.(Опера)
Последний раз редактировалось thx1138; 17.07.2010 в 14:18.
После последней перезагрузки не найден egui.exe, из-за чего НОД32 не работает и поврежден Opera.exe.
1. Профиксите в HijackThis как "профиксить в HiJackThis"
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - (no file) O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - (no file)
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('wiodmtk'); QuarantineFile('C:\WINDOWS\system32\048.tmp',''); DeleteService('meydg'); DeleteService('ltvshbk'); DeleteService('huxcatb'); QuarantineFile('C:\WINDOWS\system32\0B.tmp',''); DeleteService('haienrwi'); DeleteFile('C:\WINDOWS\system32\0B.tmp'); DeleteFile('C:\WINDOWS\system32\048.tmp'); QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll',''); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys'); DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_Activate; BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Когда загружаю карантин пишет: "Ошибка загрузки. Данный файл уже был загружен"
Логи
Последний раз редактировалось thx1138; 17.07.2010 в 14:18.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('0.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','previousProjectorProcessID'); QuarantineFile('C:\WINDOWS\system32\mssfc.dll',''); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys'); DeleteFile('C:\WINDOWS\system32\mssfc.dll'); DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); BC_DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
Все сделал. При перезагрузке все тот же экран. На загрузку карантина опять отказ.
Логи сделал
Последний раз редактировалось thx1138; 17.07.2010 в 14:18.
жду дальнейших указаний.
Добавлено через 5 часов 49 минут
quarantine.zip пустой и весит 1 кб
Последний раз редактировалось thx1138; 17.07.2010 в 13:24. Причина: Добавлено
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('%System32%\Drivers\sfc.SYS',''); DeleteFile('%System32%\Drivers\sfc.SYS'); QuarantineFile('%system32%\sfcfiles.dll',''); RenameFile('%system32%\sfcfiles.dll', '%system32%\sfcfiles.bak'); CopyFile('%system32%\dllcache\sfcfiles.dll', '%system32%\sfcfiles.dll'); DeleteFile('%system32%\sfcfiles.bak'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
В своем кабинете в "Вложения" почистите файлы.
Почистил, все равно то же "Ошибка загрузки. Данный файл уже был загружен". quarantine.zip пустой. Проблема осталась
Подскажите, пожалуйста, что еще можно сделать. Может что-то удалить в MBAM?
Удалите в MBAM
Выполните скриптКод:Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken. Зараженные файлы: C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken. C:\Documents and Settings\Нонна\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\DOCUME~1\003\LOCALS~1\Temp\AntiSecuROM.exe',''); QuarantineFile('%System32%\Drivers\sfc.SYS',''); DeleteFile('%System32%\Drivers\sfc.SYS'); QuarantineFile('%system32%\sfcfiles.dll',''); RenameFile('%system32%\sfcfiles.dll', '%system32%\sfcfiles.bak'); CopyFile('%system32%\dllcache\sfcfiles.dll', '%system32%\sfcfiles.dll'); DeleteFile('%system32%\sfcfiles.bak'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip и лог MBAM
quarantine.zip по прежнему пуст и не отправляется. Лог virusinfo_syscheck прилагаю, лог MBAM выложу позже, когда просканирует.
Как и обещал лог MBAM. Больше 7 часов, зараза, сканировал.
И еще. Может это поможет. Воспользовался программой bluescreenview. Она выделяет 2 файла красным - C:\WINDOWS\system32\ntoskrnl.exe и sfc.SYS
Последний раз редактировалось thx1138; 18.07.2010 в 19:39.
- сделайте лог Combofix
Сделал. Перезагружался уже без синего экрана.
Все работает хорошо. Если в логах чисто, большое спасибо!
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: znypmrw NetSVC:: znypmrw Folder:: Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
- Сделайте лог MBAM
- Сделайте повторный лог virusinfo_syscheck.zip;
Сделал
Последний раз редактировалось thx1138; 19.07.2010 в 19:30.
1.Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: NetSvc:: znypmrw Folder:: C:\FOUND.010 C:\FOUND.001 C:\FOUND.002 C:\FOUND.003 C:\FOUND.004 C:\FOUND.005 C:\FOUND.006 C:\FOUND.007 C:\FOUND.008 C:\FOUND.000 Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
2.Выполните скрипт в AVZ
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\DOCUME~1\НОННА\LOCALS~1\Temp\mbr.sys',''); QuarantineFile('D:\DOCUME~1\003\LOCALS~1\Temp\AntiSecuROM.exe',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Все сделал, карантин отправил
Уважаемый(ая) thx1138, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.