не загружается combofix

**alex1299** · 01.03.2011, 20:13

компьютер периодически "подвисает". антивирусы ничего не находят. Combofix в процессе загрузки ругается, что файл поврежден и не грузится. Логи в аттаче.
Спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 01.03.2011, 21:21

Сделайте лог полного сканирования МВАМ

**alex1299** · 02.03.2011, 11:26

приаттачил

**alex1299** · 02.03.2011, 12:27

предварительно поставил на файл атрибуты ридолни и скрытый. Комбофикс начал загружаться и пропал. Система сразу начала "тормозиться" процессом iexplore.exe. Также появился процесс firefox.exe, хотя firefox на компьютере не установлен.

**alex1299** · 02.03.2011, 15:05

и смог запустить avz. Прошелся еще раз третьим стандартным сканом. Результат в аттаче.

**polword** · 02.03.2011, 16:46

Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
 QuarantineFile('%windir%\system32\mssfc.dll','');
 DeleteFile('%windir%\system32\drivers\sfc.sys');
 DeleteFile('%windir%\system32\mssfc.dll');
 if FileExists ('%windir%\system32\sfcfiles.dll') then
   begin
    if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
       begin
         AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
       end
      else
       begin
         AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
         QuarantineFile('%windir%\system32\sfcfiles.dll','');
         RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
         if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
           begin
            if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
              begin
               CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
               AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
              end
             else
              begin
               AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
               if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                 begin
                  if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                    begin
                     CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                     AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                    end
                   else
                     AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                 end
                else
                  AddToLog('Файл sfcfiles.dll отсутствует в i386');
              end;
           end
          else
           begin
            AddToLog('Файл sfcfiles.dll отсутствует в кеше');
            if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
              begin
               if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                 begin
                  CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                  AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                 end
               else
                  AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
              end
             else
               AddToLog('Файл sfcfiles.dll отсутствует в i386');
           end;
       end;
   end
  else
   begin
     AddToLog('файл sfcfiles.dll отсутствует в  %windir%\system32\');
     if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
       begin
        if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
          begin
           CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
           AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
          end
         else
          begin
           AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
           if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
             begin
              if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                begin
                 CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                 AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                end
               else
                 AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
             end
            else
              AddToLog('Файл sfcfiles.dll отсутствует в i386');
          end;
       end
      else
       begin
        AddToLog('Файл sfcfiles.dll отсутствует в кеше');
        if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
          begin
           if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
             begin
              CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
              AddToLog('Замена sfcfiles.dll успешно произведена из i386');
             end
           else
              AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
          end
         else
           AddToLog('Файл sfcfiles.dll отсутствует в i386');
       end;
   end;
 DeleteFile('%windir%\system32\sfcfiles.bak');
 SaveLog('sfcfiles.log');
 BC_ImportALL;
 ExecuteSysClean;
 BC_DeleteFile('%windir%\System32\sfcfiles.bak');
 BC_DeleteSvc('sfc');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- файл sfcfiles.log прикрепите к сообщению

**alex1299** · 02.03.2011, 20:16

перед выполнением скрипта не смог выключить восстановление системы - не было такой вкладки. Когда скрипт выполнился и система перезагрузилась, вкладка "восстановление системы" появилась. Отключил восстановление и выполнил скрипт повторно. Запрошенные файлы в аттаче.
Спасибо!

**polword** · 02.03.2011, 21:45

файл D:\autorun.inf - знаком? Если нет,выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('D:\autorun.inf');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

**alex1299** · 02.03.2011, 22:53

что за файл не знаю, кмк, он давно там "живет" и выглядит невинно. на всякий случай выполнил скрипт. Приаттачил необходимый файл.

**polword** · 03.03.2011, 11:01

чисто в логе

**alex1299** · 03.03.2011, 14:12

Спасибо!

**CyberHelper** · 04.03.2011, 14:12

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 10
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\sfcfiles.dll - Trojan-Spy.Win32.Agent.bpoi ( DrWEB: Trojan.WinSpy.997, BitDefender: Gen:Variant.Kazy.10709, NOD32: Win32/Hodprot.AM trojan, AVAST4: Win32:WinSpy-HH [Trj] )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

не загружается combofix (заявка № 98801)

Опции темы

не загружается combofix

Антивирусная помощь

лог сканирования

запустил combofix

поставил процессу iexplore.exe низкий приоритет

все выполнил

это компьютер сестры

вот и славненько!

Итог лечения

Похожие темы

Последствия Combofix!

ComboFix

ComboFix

Ваши права в разделе