Сделайте лог MBAM
Printable View
Сделайте лог MBAM
как оказалось, MBAM также не реагирует на просьбы запуститься..в безопасном режиме всё аналогично..
причём программа Spybot - Search & Destroy от них же работает
что-то ещё можно поделать, или только снос? просто не хотелось бы этого совсем
Делаем так: сканируем ПК Куреит (др.Веб), затем AVPTool. Потом пробуем сделать лог Hijack.
В итоге Куреит ничего не нашёл, AVPTool кое-что нашёл, что-то удалил, но изменений никаких не произошло..
Вот из отчёта AVPTool всё что касается каких-то вирусов, может хоть какую-то зацепку даст:
30.12.2009 12:34:41 Обнаружено: Trojan.BAT.Agent.vf C:\WINDOWS\system32\fjhdyfhsn.bat
30.12.2009 12:35:11 Обнаружено: Trojan.Win32.Patched.fr C:\WINDOWS\system32\sfcfiles.bak
30.12.2009 12:35:33 Невозможно удалить: Trojan.BAT.Agent.vf C:\WINDOWS\system32\fjhdyfhsn.bat Объект не найден
30.12.2009 12:35:37 Удалено: Trojan.Win32.Patched.fr C:\WINDOWS\system32\sfcfiles.bak
[size="1"][color="#666686"][B][I]Добавлено через 19 минут[/I][/B][/color][/size]
Собственно говоря, нашёл ещё IceSword вот такие файлы:
C:\WINDOWS\ServicePackFiles\i386\sfcfiles.dll
C:\WINDOWS\$NtServicePackUninstall$\sfcfiles.dll
Подозреваю, что они тоже как то относятся к трояну?
Cделать лог Hijack сможете?
[QUOTE=shapel;549372]Cделать лог Hijack сможете?[/QUOTE]
нет..хайджек и MBAM не реагируют на просьбы запуститься..
через msconfig вижу что в автозагрузке сидит
[HKLM\~\startupfolder\C:^Documents and Settings^йцу^Главное меню^Программы^Автозагрузка^siszyd32.exe
Логи АВЗ сделайте.
сделал...
Отключите восстановление системы!
Выполните скрипт
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(1);
Executerepair(6);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.[/CODE]
Пробуйте сделать лог MBAM и Hijack
выполнил, толку нет, какая-то гадость висит видимо в памяти и упорно блокирует запуск
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Пробуйте сделать логи MBAM и Hijack
выполнил
карантин:
Файл сохранён как 091231_000429_virus_4b3bc05dd6b41.zip
к моему дикому сожалению просто, хайджек продолжает молчать в ответ на просьбы запуститься...
Карантин пуст. Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
Executerepair(12);
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
наверно, я вас уже достал, ну уж очень надо поправить здоровье ПК...
скрипт выполнил, изменений в работе нет
карантин прикрепил:
Файл сохранён как 091231_003702_virus_4b3bc7febece4.zip
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
CopyFile('C:\WINDOWS\ServicePackFiles\i386\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
RebootWindows(true);
end.[/CODE]
Пробуйте сделать логи MBAM и Hijack
сделано, изменений нет ((
[QUOTE='Tipster;549384']через msconfig вижу что в автозагрузке сидит
[HKLM\~\startupfolder\C:^Documents and Settings^йцу^Главное меню^Программы^Автозагрузка^siszyd32.exe[/QUOTE]
Попробуем убрать. Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%Userprofile%\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пробуйте сделать логи MBAM и Hijack
сделал, изменений нет, через msconfig всё равно вижу siszyd32.exe, правда галка снята, да и сам файл я найти не могу, удалял его IceSword какое-то время назад, но следы видимо остались...
Это только следы. Исправляются удалением записи в реестре. Где искать, увы, сейчас не подскажу
[QUOTE=thyrex;549632]Это только следы. Исправляются удалением записи в реестре. Где искать, увы, сейчас не подскажу[/QUOTE]
да я так понимаю, что для удаления следов надо запускать Хайджек, а это сделать никак не получается. любые антивирусные утилиты пожалуйста работают, но толку от них нет. А вот хайджек, мбам, да ещё я обнаружил WinSpy (хотел посмотреть им не прицепилось ли что-то к Winlogon) не реагируют никак..