-
Junior Member
- Вес репутации
- 50
Сброс установленных сертификатов ЭЦП
Доброго времени суток!
После перезагрузки ПК из личного хранилища\контейнера сертификатов исчезают установленные сертификаты и невозможно подписать в оутлоке письма, так же Касперский не может включить все компоненты защиты.
Логи AVZ, hijackthis и GMER прилагаются.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Протокол антивирусной утилиты AVZ версии 4.30
Это просто раритет, эта версия уже абсолютно не актуальна. Нужно скачать новую версию АВЗ, обновить базы, переделать логи
-
-
Junior Member
- Вес репутации
- 50
сори, вот логи с актуальной версии AVZ
-
-
-
Junior Member
- Вес репутации
- 50
-
Удалите в МВАМ -
Код:
Зараженные параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\idln2 (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\registrymonitor2 (Malware.Trace) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\med_bux1\Local Settings\Temp\6656056.exe (Trojan.Qhost) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\I82G5SGW\hqvwepe[1].png (Extension.Mismatch) -> No action taken.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then
begin
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
end else
AddToLog('dllcache\sfcfiles.dll does not exist');
SaveLog(GetAVZDirectory + 'avz.log');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Файл avz.log из папки с АВЗ прикрепите к следующему сообщению
-
-
Junior Member
- Вес репутации
- 50
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Возьмите у меня файл из вложений, распакуйте и поместите по следующим путям - C:\WINDOWS\System32\ и C:\WINDOWS\System32\dllcache\
Последний раз редактировалось olejah; 29.10.2010 в 18:16.
-
-
Junior Member
- Вес репутации
- 50
невозможно выполнить первый скрипт:
Ошибка: '.' expected в позиции 8:6
-
-
-
Junior Member
- Вес репутации
- 50
файлы карантина отправлены, файл заменен
-
-
-
Junior Member
- Вес репутации
- 50
Из-за нехватки времени сделал быстрое сканирование. Лог прилагается
-
-
-
Junior Member
- Вес репутации
- 50
Касперский работает. Сертификат из личного хранилища так же сбрасывается и пропадает возможность подписи ЭЦП.
Приходится так же как и раньше перед использованием ЭЦП переустанавливать сертификаты.
Добавлено через 1 час 4 минуты
это всЕ?
Последний раз редактировалось linx; 16.09.2010 в 16:32.
Причина: Добавлено
-
Нужно полное сканирование.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\sfcfiles.bak - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.925, BitDefender: Gen:Variant.Kazy.5984, AVAST4: Win32:Small-NTF [Trj] )
-