При запуске антивирусов с рабочего стола исчезают все ярлыки и пуск
Printable View
При запуске антивирусов с рабочего стола исчезают все ярлыки и пуск
- Восстановите файл C:\WINDOWS\System32\sfcfiles.dll из [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива[/URL].
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
c:\windows\system32\яяяяdь}єLь}є
c:\windows\system32\gpqkvid.exe
c:\documents and settings\Admin\Application Data\netprotocol.exe
C:\System Volume Information\_restore{1879095B-57EA-4922-B47E-853277EAFFCA}\RP1\A0002017.exe
Driver::
NetSvc::
Folder::
c:\program files\Common Files\97B93667a
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"DcomLaunch"=-
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\Installer\Features\6428D196FF359F6468B76C3D323FBCC6 (Rogue.SpycheckAntiSpyware) -> No action taken.
HKEY_CLASSES_ROOT\Installer\Products\6428D196FF359F6468B76C3D323FBCC6 (Rogue.SpycheckAntiSpyware) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{691D8246-53FF-46F9-867B-C6D323F3CB6C} (Rogue.SpycheckAntiSpyware) -> No action taken.
[/CODE]
Пока ищу дистрибутов( Восстановите файл C:\WINDOWS\System32\sfcfiles.dll ), может можно нужный файл найти в интернете и поместить в нужную папку? Переместить скрипт не могу антивирусы не работают. Пыталась:
Удалите папки:
c:\windows\system32\яяяяdь}єLь}є
c:\program files\Common Files\97B93667a
Повторите лог комбофикс.
Папка c:\program files\Common Files\97B93667a не удаляется- занята процессом,Новый [B]MBAM[/B], сейчас попытаюсь через деспетчер задач сделать комбо фикс
Папка не удаляется никак, новый комбо фикс
- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\Installer\Features\6428D196FF359F6468B76C3D323FBCC6 (Rogue.SpycheckAntiSpyware) -> No action taken.
HKEY_CLASSES_ROOT\Installer\Products\6428D196FF359F6468B76C3D323FBCC6 (Rogue.SpycheckAntiSpyware) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{691D8246-53FF-46F9-867B-C6D323F3CB6C} (Rogue.SpycheckAntiSpyware) -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Passwords.XGen) -> Data: c:\windows\system32\gpqkvid.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Passwords.XGen) -> Data: system32\gpqkvid.exe -> No action taken.
Зараженные папки:
C:\Documents and Settings\Admin\Application Data\winxrar (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\Qoobox\Quarantine\C\Documents and Settings\Admin\Application Data\netprotdrvss.vir (Spyware.Passwords.XGen) -> No action taken.
C:\Qoobox\Quarantine\C\Documents and Settings\Admin\Application Data\netprotocol.exe.vir (Spyware.Passwords.XGen) -> No action taken.
C:\System Volume Information\_restore{1879095B-57EA-4922-B47E-853277EAFFCA}\RP1\A0002017.exe (Rogue.SpycheckAntiSpyware) -> No action taken.
C:\System Volume Information\_restore{1879095B-57EA-4922-B47E-853277EAFFCA}\RP1\A0005011.exe (Spyware.Passwords.XGen) -> No action taken.
C:\System Volume Information\_restore{1879095B-57EA-4922-B47E-853277EAFFCA}\RP1\A0007124.exe (Spyware.Passwords.XGen) -> No action taken.
C:\WINDOWS\system32\gpqkvid.exe (Spyware.Passwords.XGen) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\after.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\dir.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\key (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\logo.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\MyriadWebPro-Condensed.ttf (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\rules.css (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\s.htm (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\sview (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\winxrar.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Admin\Application Data\winxrar\winxrarview.exe (Trojan.Agent) -> No action taken.
[/CODE]
-Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
Driver::
NetSvc::
Folder::
c:\program files\Common Files\97B93667a
Registry::
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
А также
Выполните скрипт в AVZ
[code]begin
RegKeyParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost', 'DcomLaunch', 'REG_MULTI_SZ', 'DcomLaunch'#0'TermService');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Скрипт сейчас сделаю
повторите лог ComboFix.txt после выполнения [URL="http://virusinfo.info/showpost.php?p=737659&postcount=8"]этого[/URL] скрипта.
А тaкже
Пофиксите в HiJack
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru[/CODE]
Высылаю логи
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
RebootWindows(true);
end.[/CODE]
В остальном подозрительного нет.
Всё работает, спасибо. Есть ли какая-нибудь антивирусная программа , которая вычисляет подобные заражения? Не первый раз ни нод, ни касперский, ни доктор веб этого процесса не видят. Мои логи:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
[URL="http://df.ru/~kad/ScanVuln.txt"][COLOR=#0532aa]ScanVuln.txt[/COLOR][/URL] водить весь текст? Разобралась-всё ввела. Обновила джава ,больше уязвимостей не найдено. Спасибо за помощь. Лечение выполнено.