компьютер периодически "подвисает". антивирусы ничего не находят. Combofix в процессе загрузки ругается, что файл поврежден и не грузится. Логи в аттаче.
Спасибо!
компьютер периодически "подвисает". антивирусы ничего не находят. Combofix в процессе загрузки ругается, что файл поврежден и не грузится. Логи в аттаче.
Спасибо!
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
приаттачил
предварительно поставил на файл атрибуты ридолни и скрытый. Комбофикс начал загружаться и пропал. Система сразу начала "тормозиться" процессом iexplore.exe. Также появился процесс firefox.exe, хотя firefox на компьютере не установлен.
и смог запустить avz. Прошелся еще раз третьим стандартным сканом. Результат в аттаче.
Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\autorun.inf',''); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); if FileExists ('%windir%\system32\sfcfiles.dll') then begin if CheckFile('%windir%\system32\sfcfiles.dll')=3 then begin AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных'); end else begin AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных'); QuarantineFile('%windir%\system32\sfcfiles.dll',''); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end else AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end else AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; end else begin AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end else AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end else AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); SaveLog('sfcfiles.log'); BC_ImportALL; ExecuteSysClean; BC_DeleteFile('%windir%\System32\sfcfiles.bak'); BC_DeleteSvc('sfc'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- файл sfcfiles.log прикрепите к сообщению
перед выполнением скрипта не смог выключить восстановление системы - не было такой вкладки. Когда скрипт выполнился и система перезагрузилась, вкладка "восстановление системы" появилась. Отключил восстановление и выполнил скрипт повторно. Запрошенные файлы в аттаче.
Спасибо!
файл D:\autorun.inf - знаком? Если нет,выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('D:\autorun.inf'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
что за файл не знаю, кмк, он давно там "живет" и выглядит невинно. на всякий случай выполнил скрипт. Приаттачил необходимый файл.
чисто в логе
Спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\sfcfiles.dll - Trojan-Spy.Win32.Agent.bpoi ( DrWEB: Trojan.WinSpy.997, BitDefender: Gen:Variant.Kazy.10709, NOD32: Win32/Hodprot.AM trojan, AVAST4: Win32:WinSpy-HH [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) alex1299, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.