Помогите: BO:Writable BO:Heap

[Евгений Тим]

Доброго времени суток! Помогите. Вот так стал постоянно ругаться McAfee:
Name: C:\WINDOWS\System32\svchost.exe:KERNEL32.LoadLibra ryA
detected as: BO:Writable BO:Heap
state: Blocked by Buffer Overflow Protection
не открывается "мой компьютер"
постоянно вылетает опреа, была ошибка setupapi.dll
переустанови ie5 на 8, переустановил оперу вроде пропала..
Что делать?

[olejah]

Правила оформления запроса о помощи.

[Евгений Тим]

Можно не удалять mc afee? и собрать сведения в авп?

[olejah]

McAfee не нужно удалять, собрать сведения лучше в АВЗ.

[Евгений Тим]

логи

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_DeleteSvcReg('sfc');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Обновите базы AVZ

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[Евгений Тим]

Выполнил скрипт, немогу обновить(автоматически авз), собрать карантин авз тоже не могу, система уходит на перезагрузку следующим образом: запускаю скрипт собрать карантин в авз, через несколько сек. маленькое окошечко с обратным отсчетом(одна минута) и надпись NT AUTHORITY итд.. система завершает работу сохраните все данные..

[olejah]

Сделайте лог полного сканирования МВАМ

???

[Евгений Тим]

Готовится)))

[Евгений Тим]

Лог

[olejah]

Удалите в МВАМ -

Код:

Зараженные файлы
C:\Program Files\Internet Explorer\setupapi.dll (Trojan.BHO) -> No action taken.

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then
 begin             
 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');      
 QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');     
 DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
 end else     
 AddToLog('dllcache\sfcfiles.dll does not exist');
 SaveLog(GetAVZDirectory + 'avz.log');       
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Файл avz.log из папки с АВЗ прикрепите к следующему сообщению

- Какие ещё браузеры кроме ИЕ установлены?

[Евгений Тим]

Установлена Опера.

[Евгений Тим]

Лог авз после перезагрузки

[olejah]

- Файл avz.log из папки с АВЗ прикрепите к следующему сообщению

К этому отнеситесь внимательнее пожалуйста.

[thyrex]

А также

Сделайте лог ComboFix

[Евгений Тим]

Удалил после еще одного сканирования в MBAM:
C:\Program Files\Internet Explorer\setupapi.dll (Trojan.BHO) -> No action taken
C:\WINDOWS\system32\sfcfiles.dll (Trojan.Patched) -> No action taken.

[olejah]

Я ещё раз повторяю - - Файл avz.log из папки с АВЗ прикрепите к следующему сообщению

Если Вы отказываетесь выполнять указания хелперов, или делаете все по-своему, не удивляйтесь тому, что Ваша тема может быть закрыта.

[Евгений Тим]

Сорри..

[olejah]

Возьмите файл у меня из вложений, распакуйте и поместите по следующим путям - C:\WINDOWS\System32\ и C:\WINDOWS\System32\dllcache

[Евгений Тим]

Выполнил!