медленная работа, странный процесс sfc.sys, на который ругается nod32, но прибить не может. прошу помощи. спасибо!
медленная работа, странный процесс sfc.sys, на который ругается nod32, но прибить не может. прошу помощи. спасибо!
Последний раз редактировалось evoname; 25.11.2010 в 13:20.
1.Профиксите в HijackThis
2. Выполните скрипт в AVZКод:O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); if FileExists ('%windir%\system32\sfcfiles.dll') then begin if CheckFile('%windir%\system32\sfcfiles.dll')=3 then begin QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\sfcfiles.dll',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных'); end else begin AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных'); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\sfcfiles.dll',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); end; end else begin AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\'); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); end; SaveLog('sfcfiles.log'); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX3C643131}'); QuarantineFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\sys.exe',''); QuarantineFile('C:\WINDOWS\system32\78A31B\7B29DB.EXE',''); DeleteFile('C:\WINDOWS\system32\78A31B\7B29DB.EXE'); DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\sys.exe'); DeleteFileMask('C:\WINDOWS\system32\78A31B', '*.*', true); DeleteDirectory('C:\WINDOWS\system32\78A31B'); BC_ImportALL; ExecuteSysClean; BC_DeleteFile('%windir%\System32\sfcfiles.bak'); BC_DeleteSvc('sfc'); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
- файл sfcfiles.log прикрепите к сообщению
- Сделайте лог MBAM
Карантин не загрузился...
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен.
Прикладываю часть логов, остальные делаются.
Последний раз редактировалось evoname; 25.11.2010 в 13:20.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX3C643131}'); DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\sys.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Восстановите файл C:\WINDOWS\System32\sfcfiles.dll из дистрибутива
- Сделайте повторный лог virusinfo_syscheck.zip;
это старый лог, для предыдущего сообщения. лог MBAM еще делается. sfcfiles восстановить неоткуда, под рукой ни одного дистрибутива с SP2
Последний раз редактировалось evoname; 25.11.2010 в 13:20.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX3C643131}'); QuarantineFile('C:\Program Files\plugin.exe',''); DeleteFile('C:\Program Files\plugin.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin'); DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\sys.exe'); DeleteFile('C:\WINDOWS\system32\sfcfiles.bak'); BC_DeleteFile('C:\WINDOWS\system32\sfcfiles.bak'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
обновления устанавливаются.
скрипт выполнен.
лог прикладываю.
Последний раз редактировалось evoname; 25.11.2010 в 13:20.
ничего плохого ...
MBAM лог
Последний раз редактировалось evoname; 25.11.2010 в 13:20.
- удалите в MBAM
Код:Зараженные папки: C:\RESTORE\k-1-3542-4232123213-7676767-8888886 (Trojan.Agent) -> No action taken. C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013 (Backdoor.IRCBot) -> No action taken. C:\SYSTEM\G-923-321232-3232-32211-23 (Backdoor.Bot) -> No action taken. C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-29 (Worm.Brontok) -> No action taken. C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-4 (Worm.Brontok) -> No action taken. C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-1 (Worm.Brontok) -> No action taken. C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-2 (Worm.Brontok) -> No action taken. C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-22 (Worm.Brontok) -> No action taken. C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-23 (Worm.Brontok) -> No action taken. C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-24 (Worm.Brontok) -> No action taken. C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-25 (Worm.Brontok) -> No action taken. C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-28 (Worm.Brontok) -> No action taken. C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-29 (Worm.Brontok) -> No action taken. C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-3 (Worm.Brontok) -> No action taken. C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-30 (Worm.Brontok) -> No action taken. C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-31 (Worm.Brontok) -> No action taken. C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-4 (Worm.Brontok) -> No action taken. C:\Documents and Settings\Анвар\Local Settings\Application Data\Bron.tok-12-5 (Worm.Brontok) -> No action taken. Зараженные файлы: C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Desktop.ini (Trojan.Agent) -> No action taken. C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Backdoor.IRCBot) -> No action taken. C:\SYSTEM\G-923-321232-3232-32211-23\Desktop.ini (Backdoor.Bot) -> No action taken. C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.
сделано. спасибо.
обновляйтесь
polword, в процессе...
Уважаемый(ая) evoname, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.