После лечения заразы security tool стал медленно открываться окно "мой компьютер". В чём там проблема-то?
Printable View
После лечения заразы security tool стал медленно открываться окно "мой компьютер". В чём там проблема-то?
[URL="http://virusinfo.info/pravila_old.html"][COLOR="blue"]Внимательно прочитайте и аккуратно выполните[/COLOR][/URL]
А в чём проблема-то?
Вложения есть, сделаны они аккуратно. Не первый раз тут лечусь.
Раздел этот читаю внимательно каждый раз.
[QUOTE=Baloven;737595]Вложения есть, сделаны они аккуратно. [/QUOTE]
где они?
[QUOTE=polword;737606]где они?[/QUOTE]
Не знаю куда они делись, вставил повторно, и сейчас я их вижу в своём первом сообщении.
[QUOTE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 77.245.210.132:3128[/QUOTE]
cами прописывали?
1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
O2 - BHO: LexlibPlugin - {1094613F-84B6-4131-AEC1-71DF88291044} - (no file)
O3 - Toolbar: (no name) - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
[/CODE]
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\Program Files\internet explorer\setupapi.dll','');
QuarantineFile('C:\Program Files\opera\setupapi.dll','');
QuarantineFile('C:\Bin\RockXP.exe','');
QuarantineFile('C:\WINDOWS\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\Baloven\Application Data\drivers\wfsintwq.sys','');
DeleteService('srosa');
QuarantineFile('C:\Documents and Settings\Baloven\Application Data\drivers\srosa2.sys','');
DeleteService('sK9Ou0s');
QuarantineFile('C:\DOCUME~1\Baloven\LOCALS~1\Temp\U37Yqugq.sys','');
DeleteFile('C:\DOCUME~1\Baloven\LOCALS~1\Temp\U37Yqugq.sys');
DeleteFile('C:\Documents and Settings\Baloven\Application Data\drivers\srosa2.sys');
DeleteFile('C:\Documents and Settings\Baloven\Application Data\drivers\wfsintwq.sys');
BC_DeleteFile('C:\Documents and Settings\Baloven\Application Data\drivers\wfsintwq.sys');
BC_DeleteFile('C:\Documents and Settings\Baloven\Application Data\drivers\srosa2.sys');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Program Files\opera\setupapi.dll');
DeleteFile('C:\Program Files\internet explorer\setupapi.dll');
if FileExists ('%windir%\system32\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
begin
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
end
else
begin
AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
end
else
begin
AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
SaveLog('sfcfiles.log');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- файл [COLOR="Blue"][B]sfcfiles.log[/B][/COLOR] прикрепите к сообщению
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
А также
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Карантин приложил, а вот и логи.
Радмин Ваш? Где лог ComboFix?
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [code]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\xvideoplugin.jetmimefiltr (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.jetmimefiltr.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{047d87fd-bfc5-4ac3-9ad3-acecc7b49016} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8e569e70-9e91-4cf9-820c-99ddc3a05a0c} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{b0ed4726-5bc8-4e22-a7a8-3074a73ce64e} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8e569e70-9e91-4cf9-820c-99ddc3a05a0c} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1094613f-84b6-4131-aec1-71df88291044} (Trojan.BHO) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\AppID\pllib.dll (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\bisoft (Worm.Bagle) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\DateTime4 (Worm.Bagle) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ICF (Rootkit.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Baloven\mstsc.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Baloven\Local Settings\Application Data\86058721.exe (Rogue.SecurityTool) -> No action taken.
C:\Documents and Settings\Baloven\Application Data\Adobe\AdobeUpdate.exe564078 (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Documents and Settings\Baloven\Главное меню\Программы\Автозагрузка\AdbUpd.lnk (Malware.Trace) -> No action taken.
C:\Program Files\Mozilla Firefox\setupapi.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Baloven\Главное меню\Программы\Security Tool.LNK (Rogue.SecurityTool) -> No action taken.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> No action taken.
C:\Documents and Settings\Baloven\Рабочий стол\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.[/code]
Радмин мой. Когда я делал предыдущие логи, запроса по ComboFix не было. Сейчас я уже скачал и сделал его.
Сейчас в MBAMe сделаю изменения.
Сделал в МБАМе. Перегрузился и пересканировал. Вот Лог.
c:\windows\System32\sfcfiles.dll восстановите с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]
Что с проблемой?
Спасибо, всё заработало ещё до того как начал снимать логи ComboFix и MBAM.
Файл восстановил из дистрибутива.
- [URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]