Каждый час НОД ругается на различные файлы в системе, проверьте логи пжл
Каждый час НОД ругается на различные файлы в системе, проверьте логи пжл
1.Профиксите в HijackThis
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: (no name) - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} - (no file) O2 - BHO: (no name) - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} - (no file) O3 - Toolbar: (no name) - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} - (no file)
Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\ggdrive32.exe',''); QuarantineFile('C:\WINDOWS\system32\71.exe',''); QuarantineFile('C:\WINDOWS\system32\23.exe',''); QuarantineFile('C:\WINDOWS\system32\08.exe',''); QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe',''); QuarantineFile('c:\windows\ggdrive32.exe',''); TerminateProcessByName('c:\windows\ggdrive32.exe'); DeleteFile('c:\windows\ggdrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe'); DeleteFile('C:\WINDOWS\system32\08.exe'); DeleteFile('C:\WINDOWS\system32\17.exe'); DeleteFile('C:\WINDOWS\system32\23.exe'); DeleteFile('C:\WINDOWS\system32\71.exe'); DeleteFile('C:\WINDOWS\ggdrive32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); if FileExists ('%windir%\system32\sfcfiles.dll') then begin if CheckFile('%windir%\system32\sfcfiles.dll')=3 then begin AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных'); end else begin AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных'); QuarantineFile('%windir%\system32\sfcfiles.dll',''); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end else AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end else AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; end else begin AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end else AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end else AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); SaveLog('sfcfiles.log'); BC_ImportALL; ExecuteRepair(11); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); ExecuteSysClean; BC_DeleteFile('%windir%\System32\sfcfiles.bak'); BC_DeleteSvc('sfc'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
После обновления:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- файл sfcfiles.log прикрепите к сообщению
- Сделайте лог MBAM
Извиняюсь за свое долгое отсутствие, sfcfiles.log и quarantine.zip создались только из безопасного режима.
Файл сохранён как 110221_192602_quarantine_4d62921ad24f1.zip
Размер файла 73298
MD5 3013bd7c2163abc6b3fc1201a54649c2
Файл закачан, спасибо!
Удалите в МВАМКод:Заражённые ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Updater (Adware.KeenValue) -> No action taken. Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken. Заражённые файлы: d:\документы\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\3Y37292M\okcuq[1].jpg (Extension.Mismatch) -> No action taken. d:\документы\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\C5MBK5EJ\snxotqp[1].bmp (Extension.Mismatch) -> No action taken. d:\документы\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\RX384NQ3\bbhhab[1].png (Extension.Mismatch) -> No action taken. d:\документы\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\RX384NQ3\vwive[1].png (Extension.Mismatch) -> No action taken. c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken. c:\WINDOWS\internet.exe (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
- Восстановите файл C:\WINDOWS\System32\sfcfiles.dll из дистрибутива или отсюда
сделал, что-то еще?
Что с проблемами?
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) indiference, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.