-
Junior Member
- Вес репутации
- 50
Помогите что делать с ВИРУСОМ!!!
Добрый день помомогите, у меня обнаружился вирус в обьекте C:\WINDOWS\system32\mssfc.dll Троянская программа Trojan-spy.Win32.Agent.bkbx
Когда каспер при в ключение виндуса сам его находит, нажимаеш удалить(через каспер) он вроде его удаляет перезагружает комп, и ВОУЛЯ вирус снова находится раз 5 удалял не помогает... что делать?прошу помощи...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните правила - поможем.
-
-
Junior Member
- Вес репутации
- 50
А как вставить логи? ну 2 архива и текстовой фаил?
-
Junior Member
- Вес репутации
- 50
Извеняюсь разобрался , вот все сделал по инструкции...
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
QuarantineFile('c:\program files\opera\setupapi.dll','');
DeleteFile('c:\program files\opera\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Браузер FireFox установлен?
- Сделайте лог полного сканирования МВАМ
-
-
Junior Member
- Вес репутации
- 50
quarantine.zip выслал как указано выше, firefox ннет только опера.. щас сделаю лог MBAM
-
Junior Member
- Вес репутации
- 50
Вот вам лог но чет в логе я не увидел того зараженного фаила что постоянно показывает касперский
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then
begin
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
end else
AddToLog('dllcache\sfcfiles.dll does not exist');
SaveLog(GetAVZDirectory + 'avz.log');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Файл avz.log из папки с АВЗ прикрепите к следующему сообщению
-
-
Junior Member
- Вес репутации
- 50
перезагрузился компьютер но каспер опять нашел этот же самый вирус... не помогло.. я правильно понял этот фаил вам прикрепитЬ?
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- После всего этого - Возьмите файл у меня из вложений, распакуйте и поместите его по следующим путям(скопировав его) -
C:\WINDOWS\System32\ и
C:\WINDOWS\System32\dllcache\
Последний раз редактировалось olejah; 29.10.2010 в 18:16.
-
-
Junior Member
- Вес репутации
- 50
C:\WINDOWS\System32\dllcache\ такой папки нет даже когда делаеш скрытые отображение,
Кстати прислать карантиновскый фаил нажимаю а мне пишит такой фаил уже был отправлен!!Вернее ошибка загрузки даный фаил уже был отправлен!
-
Всё остальное выполнили?
Если да, то повторите лог МВАМ.
-
-
Junior Member
- Вес репутации
- 50
да тот скрип что был выше я выполним, комп перезагрузился опять каспер поругался на вирус, я создал лог с помощью вашего скрипта карантин 2, пытался отправить оно отказывается вам слать, ваш фаил кинул в папку C:\WINDOWS\System32\
но такой папки на компе не нашлось C:\WINDOWS\System32\dllcache\
ЩАс заново выполню MBAM и скину вам лог, заранее очень благодарен что уделяете мне время и пытаетесь помочь
-
Сообщение от
kislak
C:\WINDOWS\system32\mssfc.dll
Странно, но его нет ни в одном из логов, я бил его на угад в скрипте. Поищите его с помощью АВЗ - Сервис - Поиск файлов на диске, отметьте папку C:\WINDOWS\system32\, в маске введите mssfc.dll, если найдёте, отметьте галкой и скопируйте в карантин, а потом нажмите Удалить отмеченные файлы.
-
-
Junior Member
- Вес репутации
- 50
Так вот опять проверил MBAM высылаю лог... но чего то я не допонимаю все попытки найти вирус который находил каспер без успешны... вроде как осознавая даже в MBAM не находит этот вирус...если я все верно понимаю
C:\WINDOWS\system32\mssfc.dll
Троянская программа Trojan-spy.Win32.Agent.bkbx
-
-
-
Junior Member
- Вес репутации
- 50
яж про тоже но при перезагрузке компьютера касперский опять просит разрешения вылечить Троянская программа Trojan-spy.Win32.Agent.bkbx находящиюся по адрессу
C:\WINDOWS\system32\mssfc.dll и опять все по кругу... яж что и удивляюсь вроде как я понял выше указаные логи которые были сделани не в 1 из логов не укаазн сам этот вирус, даже поиск по гуглу именно Trojan-spy.Win32.Agent.bkbx не было обнаружено единственное что вроде если память не изменяет есть Trojan-spy.Win32.Agent.bibh но это не тот же самый вирус что сидт у меня и гугл бес полезен... Может еще раз сделать процедуру с АВЗ сканом?
Добавлено через 3 минуты
Еслиб Вы, подсказли мне как сделать скрин яб сделал скрин каспера с обноруженным вирусом и выслал бы вам еслиб это как то помогло
Последний раз редактировалось kislak; 17.09.2010 в 19:38.
Причина: Добавлено
-
Скрин сделать так - во время появления алерта, жмите клавишу Print Screen, потом открываете Paint и вставляете туда(Ctrl+V) или через правка - вставить.
-
-
Junior Member
- Вес репутации
- 50
Ну вот тип лога текстового от каспера и скрин!!Скрин чет так не отправляет запаковал его в винрар.. Гляньте пожалуйста быть может вам будет виднее в чем суть проблемы..
-
Junior Member
- Вес репутации
- 50
ООО боги, я не знаю что произошло, но как отправил вам скрины, решил проверить АВЗ еще раз, ну сделалсь проверка, глянул не чего он не нашел... думаю вот досад.. взял в каспере как обычно нажал исправить (удалить вирус и перезагрузил компьютер )и ВИНДУУС загрузился без каких либо проблем(вернее ВИРУС н обнаружен) Я очень вам благодарен за вашу помощь.. только 1 удивляет как вирус был удален, ведь раньше он востанавливаался както, а просмотрев все логи, он не РАЗУ не был обнаруженНу да и ладно хорошо что все в порядке, ЕЩЕ раз Большое человеческое спасибо вам, вы очень мне помогли и извените за потраченое ваше время