Показано с 1 по 13 из 13.

медленная работа, странный процесс (заявка № 91578)

  1. #1
    Junior Member Репутация
    Регистрация
    25.07.2010
    Сообщений
    225
    Вес репутации
    51

    медленная работа, странный процесс

    медленная работа, странный процесс sfc.sys, на который ругается nod32, но прибить не может. прошу помощи. спасибо!
    Последний раз редактировалось evoname; 25.11.2010 в 13:20.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1.Профиксите в HijackThis
    Код:
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    2. Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
      if FileExists ('%windir%\system32\sfcfiles.dll') then
       begin
        if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
           begin
             QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
             QuarantineFile('%windir%\system32\sfcfiles.dll','');
             QuarantineFile('%windir%\system32\mssfc.dll','');
             DeleteFile('%windir%\system32\drivers\sfc.sys');
             DeleteFile('%windir%\system32\mssfc.dll');
             AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
           end
          else
           begin
             AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
             QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
             QuarantineFile('%windir%\system32\sfcfiles.dll','');
             QuarantineFile('%windir%\system32\mssfc.dll','');
             DeleteFile('%windir%\system32\drivers\sfc.sys');
             DeleteFile('%windir%\system32\mssfc.dll');
             RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
             if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
               begin
                if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
                  begin
                   CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                   AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
                  end
                 else
                  begin
                   AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
                   SaveLog('sfcfiles.log');
                   if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                     begin
                      if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                        begin
                         CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                         AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                        end
                       else
                        begin
                         AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                        end;
                     end
                    else
                     begin
                      AddToLog('Файл sfcfiles.dll отсутствует в i386');
                     end;
                  end;
               end
              else
               begin
                AddToLog('Файл sfcfiles.dll отсутствует в кеше');
                if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                  begin
                   if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                     begin
                      CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                      AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                     end
                   else
                    begin
                      AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                    end;
                  end
                 else
                  begin
                   AddToLog('Файл sfcfiles.dll отсутствует в i386');
                  end;
               end;
             DeleteFile('%windir%\system32\sfcfiles.bak');
           end;
       end
      else
       begin
         AddToLog('файл sfcfiles.dll отсутствует в  %windir%\system32\');
         QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
         QuarantineFile('%windir%\system32\mssfc.dll','');
         DeleteFile('%windir%\system32\drivers\sfc.sys');
         DeleteFile('%windir%\system32\mssfc.dll');
         if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
           begin
            if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
              begin
               CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
               AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
              end
             else
              begin
               AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
               SaveLog('sfcfiles.log');
               if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                 begin
                  if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                    begin
                     CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                     AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                    end
                   else
                    begin
                     AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                    end;
                 end
                else
                 begin
                  AddToLog('Файл sfcfiles.dll отсутствует в i386');
                 end;
              end;
           end
          else
           begin
            AddToLog('Файл sfcfiles.dll отсутствует в кеше');
            SaveLog('sfcfiles.log');
            if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
              begin
               if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                 begin
                  CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                  AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                 end
               else
                begin
                  AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                end;
              end
             else
              begin
               AddToLog('Файл sfcfiles.dll отсутствует в i386');
              end;
           end;
         DeleteFile('%windir%\system32\sfcfiles.bak');
       end;
     SaveLog('sfcfiles.log');
     DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX3C643131}');
     QuarantineFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\sys.exe','');
     QuarantineFile('C:\WINDOWS\system32\78A31B\7B29DB.EXE','');
     DeleteFile('C:\WINDOWS\system32\78A31B\7B29DB.EXE');
     DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\sys.exe');
     DeleteFileMask('C:\WINDOWS\system32\78A31B', '*.*', true);
     DeleteDirectory('C:\WINDOWS\system32\78A31B');
     BC_ImportALL;
     ExecuteSysClean;
     BC_DeleteFile('%windir%\System32\sfcfiles.bak');
     BC_DeleteSvc('sfc');
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
    - файл sfcfiles.log прикрепите к сообщению
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    25.07.2010
    Сообщений
    225
    Вес репутации
    51
    Карантин не загрузился...
    Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен.
    Прикладываю часть логов, остальные делаются.
    Последний раз редактировалось evoname; 25.11.2010 в 13:20.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX3C643131}');
     DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\sys.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Восстановите файл C:\WINDOWS\System32\sfcfiles.dll из дистрибутива
    - Сделайте повторный лог virusinfo_syscheck.zip;

  6. #5
    Junior Member Репутация
    Регистрация
    25.07.2010
    Сообщений
    225
    Вес репутации
    51
    это старый лог, для предыдущего сообщения. лог MBAM еще делается. sfcfiles восстановить неоткуда, под рукой ни одного дистрибутива с SP2
    Последний раз редактировалось evoname; 25.11.2010 в 13:20.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX3C643131}');
     QuarantineFile('C:\Program Files\plugin.exe','');
     DeleteFile('C:\Program Files\plugin.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
     DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\sys.exe');
     DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
     BC_DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;
    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

  8. #7
    Junior Member Репутация
    Регистрация
    25.07.2010
    Сообщений
    225
    Вес репутации
    51
    обновления устанавливаются.
    скрипт выполнен.
    лог прикладываю.
    Последний раз редактировалось evoname; 25.11.2010 в 13:20.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    ничего плохого ...

  10. #9
    Junior Member Репутация
    Регистрация
    25.07.2010
    Сообщений
    225
    Вес репутации
    51
    MBAM лог
    Последний раз редактировалось evoname; 25.11.2010 в 13:20.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - удалите в MBAM
    Код:
    Зараженные папки:
    C:\RESTORE\k-1-3542-4232123213-7676767-8888886 (Trojan.Agent) -> No action taken.
    C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013 (Backdoor.IRCBot) -> No action taken.
    C:\SYSTEM\G-923-321232-3232-32211-23 (Backdoor.Bot) -> No action taken.
    C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-29 (Worm.Brontok) -> No action taken.
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-4 (Worm.Brontok) -> No action taken.
    C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-1 (Worm.Brontok) -> No action taken.
    C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-2 (Worm.Brontok) -> No action taken.
    C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-22 (Worm.Brontok) -> No action taken.
    C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-23 (Worm.Brontok) -> No action taken.
    C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-24 (Worm.Brontok) -> No action taken.
    C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-25 (Worm.Brontok) -> No action taken.
    C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-28 (Worm.Brontok) -> No action taken.
    C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-29 (Worm.Brontok) -> No action taken.
    C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-3 (Worm.Brontok) -> No action taken.
    C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-30 (Worm.Brontok) -> No action taken.
    C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-31 (Worm.Brontok) -> No action taken.
    C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-4 (Worm.Brontok) -> No action taken.
    C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-5 (Worm.Brontok) -> No action taken.
    
    Зараженные файлы:
    C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Desktop.ini (Trojan.Agent) -> No action taken.
    C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Backdoor.IRCBot) -> No action taken.
    C:\SYSTEM\G-923-321232-3232-32211-23\Desktop.ini (Backdoor.Bot) -> No action taken.
    C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.

  12. #11
    Junior Member Репутация
    Регистрация
    25.07.2010
    Сообщений
    225
    Вес репутации
    51
    сделано. спасибо.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    обновляйтесь

  14. #13
    Junior Member Репутация
    Регистрация
    25.07.2010
    Сообщений
    225
    Вес репутации
    51
    polword, в процессе...

  • Уважаемый(ая) evoname, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 03.01.2011, 23:23
    2. Медленная работа
      От ketti в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 03.11.2010, 07:37
    3. Медленная работа ПК
      От voldemar1973 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.11.2010, 12:47
    4. плохая работа авнтивируса и медленная работа компьютера (заявка №24211)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 28.06.2010, 21:00
    5. Медленная работа ПК
      От Evg_ в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 18.07.2009, 13:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00155 seconds with 19 queries