-
Junior Member
- Вес репутации
- 49
вирус, закрывает все программы
вообщем сначала было всё норм, потом как вставляю флешку пишет volum не найден... далее всё начало тормозить, по пол часа ждешь нажатие правой кнопки мыши. потом изчезла меню пуск, и винда грузится по пол часа. авз вообще не довал запуститься. как и другим программам. и в безопасном режиме тоже
с помощью лайф сиди удалось чутка реанимировоать и авз запустился
вот отчёты
Последний раз редактировалось monaxxx; 26.11.2010 в 17:55.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Обновите базы AVZ.
Если базы не обновляются через меню Файл, скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Сделайте заново логи AVZ и приложите.
-
-
Junior Member
- Вес репутации
- 49
-
Загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=userinit.exe,
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('E:\Program Files\1276207080\Макс1276207080L.exe','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Запустите/включите антивирус/файрволл.
Подключите интернет.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Так же прошу выполнить эту процедуру и загрузить там получившийся файл:
http://virusinfo.info/showthread.php?t=3519
Информацию о загруженном файле приложите здесь.
-
-
Junior Member
- Вес репутации
- 49
1) вирус кюр залил
Файл сохранён как 101126_184119_virusinfo_cure_4cefd51f23d33.zip
Размер файла 6796521
MD5 3b4c242145ad989730d8c07eee7728c6
2)Файл сохранён как 101126_185622_quarantine_4cefd8a679ec8.zip
Размер файла 414493
MD5 848a1a7ce2e5de094f1170a739372f29
3) сисчек прикрепил
4)Файл сохранён как 101126_192010_virusinfo_files_МАКС_4cefde3aa8181.z ip
Размер файла 39032134
MD5 9b8fc0355e35f7c07f73e2c68805c893
Последний раз редактировалось monaxxx; 26.11.2010 в 19:21.
-
Этот файл вам знаком?
'E:\Program Files\1276207080\Макс1276207080L.exe'
Если нет, приступим к уничтожению (но только если он вам действительно не знаком!)...
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('E:\Program Files\1276207080\Макс1276207080L.exe');
BC_DeleteSvc('.1276207080');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Запустите/включите антивирус/файрволл.
Подключите интернет.
Повторите лог virusinfo_syscheck.zip и приложите в теме.
-
-
Junior Member
- Вес репутации
- 49
-
Файл уничтожен.
Больше подозрительного по логам не нашел.
Аномальное поведение системы еще наблюдается?
Так же можно поискать уязвимости в вашей системе (если хотите):
Выполните скрипт в AVZ отсюда:
http://df.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Ну и так же мусор поискать:
Сделайте лог MBAM:
http://virusinfo.info/showthread.php?t=53070
и приложите.
-
-
Junior Member
- Вес репутации
- 49
да, как бы всё как и было осталось(((
нету меню пуск, поиска нету. винда 30 мин грузится
да и там при сканировании куча строк с перехватом
куча строк с кейлогером
Последний раз редактировалось monaxxx; 26.11.2010 в 21:09.
-
Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
if FileExists ('%windir%\system32\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
begin
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
end
else
begin
AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
end
else
begin
AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
SaveLog('sfcfiles.log');
QuarantineFile('E:\WINDOWS\System32\winlogon.exe','');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- файл sfcfiles.log прикрепите к сообщению
Сообщение от
Nikkollo
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 49
1)Файл сохранён как 101126_214859_quarantine_4cf0011b1385a.zip
Размер файла 336881
MD5 1aca9f113330476b02d808741b988aaf
2)лог прикрепил
-
- Замените файл C:\WINDOWS\system32\dllcache\sfcfiles.dll на чистый из дистрибутива.
- Восстановите файл C:\WINDOWS\System32\sfcfiles.dll из дистрибутива.
Сообщение от
polword
и этот лог сделать не забудьте
-
-
Junior Member
- Вес репутации
- 49
polword,
пытаюсь, но после установки выдаёт
run-time error 372
failed to load control vbalsgrid6.ocx
-
-
-
Junior Member
- Вес репутации
- 49
заменил, терь синий экран( и перезагрузка(
-
Junior Member
- Вес репутации
- 49
ятак понял теперь только менять винду?
-
Безопасный режим работает?
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-