Printable View
Уважаемые гуру сего сайта. Посмотрел как вы помогаете пользователям и сам решил попросить о помощи. Суть проблемы ( видимая часть так сказать ) - заражённый mssfc.dll, невозможно лечить и удалить. Обнаружен Dr. Web. Winlogon.exe грузит проц, возможно это как то и связано. Ни капельки не сомневаюсь в вашей компетенции и хотелось бы расчитывать на скорую помощь. Благодарствую за то, что уже уделили мне внимание:rolleyes:
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Скрипт выполнил. При сканировании Dr.Web уходит в ребут, хотя при сканировании в Винде успел заметить статус "Исцелён")). В безопасном сразу ребут тоже. Прикрепляю новые логи и жду дальнейших инструкций...
P.S. с Winlogon.exe разберёмся позже ?
[quote]P.S. с Winlogon.exe разберёмся позже ?[/quote]
Чем он вам не понравился ?
[B]snifer67[/B],
Тем что грузит проц) На холостых на 50%. Или вопрос с подвохом-юмором каким? )
[size="1"][color="#666686"][B][I]Добавлено через 25 минут[/I][/B][/color][/size]
SdIDer Guard выдал щас вот это:
24-12-2009 12:03:56 [BG] (PID = 0700) C:\WINDOWS\SYSTEM32\SFCFILES.DLL - инфицирован Trojan.WinSpy.440
24-12-2009 12:03:56 C:\WINDOWS\SYSTEM32\SFCFILES.DLL - инфицирован Trojan.WinSpy.440 и не может быть исцелен
24-12-2009 12:06:05 [BG] (PID = 0700) C:\WINDOWS\SYSTEM32\SFCFILES.DLL - ошибка удаления
24-12-2009 12:06:05 [BG] (PID = 0700) C:\WINDOWS\SYSTEM32\SFCFILES.DLL - доступ к файлу запрещен
24-12-2009 12:06:52 [BG] (PID = 0700) C:\WINDOWS\SYSTEM32\MSSFC.DLL - инфицирован Trojan.WinSpy.440
24-12-2009 12:06:52 C:\WINDOWS\SYSTEM32\MSSFC.DLL - инфицирован Trojan.WinSpy.440 и не может быть исцелен
24-12-2009 12:07:32 [BG] (PID = 0700) C:\WINDOWS\SYSTEM32\MSSFC.DLL - ошибка удаления
24-12-2009 12:07:32 [BG] (PID = 0700) C:\WINDOWS\SYSTEM32\MSSFC.DLL - доступ к файлу запрещен
Раньше Trojan.WinSpy.440 имел номер 369, а щас 440. А ещё и этот вылез SFCFILES.DLL . Эх... Понеслася.:sad:
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SYSTEM32\MSSFC.DLL','');
DeleteFile('C:\WINDOWS\SYSTEM32\MSSFC.DLL');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Скрипт выполнил.
Карантин выслал, лог прицепил...
Кстати Winlogon.exe отпустило О_о) Чудеса...
Чисто
[B]snifer67[/B],
Dr.Web больше ни на что не ругается ( в safe mode проверил Windows папку )
SpIDer Guard также молчит. Winlogon. exe не грузит более проц.
Вывод - ЧИСТО )). Если серьёзно сказать, то я и не ожидал такого быстрого и эффективного реагирования на мою проблему. ( Смотрел разные темы на форуме ).
Поэтому хочется от всей души поблагодарить тебя за "Кудесничество".
Также хочется поблагодарить всех "Хэлперов" за вашу работу. Вы делаете нужное и полезное дело для нас "Юзверей". С Новым годом вас друзья ! Удачи вам и осуществления ваших мечтаний и задумок, здоровья и благополучия.
Красавцы , ей Богу...:biggrin:
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\mssfc.dll - [B]Trojan.Win32.Patched.fr[/B] ( DrWEB: Trojan.WinSpy.369, AVAST4: Win32:Patched-KP [Trj] )[*] c:\windows\system32\sfcfiles.dll - [B]Trojan.Win32.Patched.fr[/B] ( AVAST4: Win32:Patched-KP [Trj] )[/LIST][/LIST]