Проверил с помощью AVZ (3й по счёту стандартный скрипт),
жду ответный скрипт для лечения...
Проверил с помощью AVZ (3й по счёту стандартный скрипт),
жду ответный скрипт для лечения...
Последний раз редактировалось olejah; 03.01.2011 в 13:27. Причина: virusinfo_cure.zip - Карантин в теме!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\tempsys.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('C:\WINDOWS\system32\nrsdxr.exe',''); QuarantineFile('C:\WINDOWS\system32\sidebar32.exe',''); QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll',''); DeleteFile('C:\WINDOWS\system32\sidebar32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star'); DeleteFile('C:\WINDOWS\system32\nrsdxr.exe'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\tempsys.exe'); DeleteFile('c:\program files\opera\setupapi.dll'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
готово
Добавлено через 13 минут
Файл сохранён как 110103_133859_quarantine_4d21a7432e6ae.zip
Размер файла 3278
Последний раз редактировалось sidyk; 03.01.2011 в 13:54. Причина: Добавлено
Сделайте новые логи. Все три, как в правилах.
а как сделать hijackthis.log ??? (видел в похожей теме)
Готово
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk O2 - BHO: MS Media Module - {17C7D763-77CF-B5C2-E99F-F55182ADB317} - (no file)
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\WINDOWS\system32\mssfc.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Файл C:\WINDOWS\system32\sfcfiles.dll поищите с помощью АВЗ(Сервис - Поиск файлов на диске), если найдёте, запакуйте в zip-архив, с паролем virus пришлите по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Файл сохранён как 110103_160829_Quarantine_4d21ca4dcee1e.zip
Размер файла 690
Такой файл нашёл, но в папке AVZ папка Quarantine не архивируется ("Отказано в доступе"), не знаю сгодиться ли такой "Quarantine", который вам отправил?
Сделаем так -
1. скачайте МВАМ,
2. Установите ее по стандартному пути с настройками по умолчанию.
3. В проводнике найдите файл C:\WINDOWS\system32\sfcfiles.dll, нажмите на него правой кнопкой мыши и выберите пункт Просканировать Malwarebytes Antimalware
4. О результатах отпишитесь.
Вуаля
Что с проблемой?
Когда пытался с помощью AVZ скопировать "sfcfiles.dll" в карантин, несколоко раз NOD 32 ругался...
Добавлено через 55 секунд
проблема осталась
А эту библиотеку удалить можно? (C:\WINDOWS\system32\sfcfiles.dll)
Последний раз редактировалось sidyk; 03.01.2011 в 16:32. Причина: Добавлено
Файл C:\WINDOWS\system32\sfcfiles.dll замените чистым с дистрибутива.
не получается заменить, "нет доступа или файл уже используется"
В безопасном режиме?
Заменил в безопасном режиме, ребут... щас всё "ОК"!
Огромное человеческое спасибо!!!
p.s. Achtung неизбежен))
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) sidyk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.