Printable View
Вчера что-то цапнул из сети
Зловред выгрузил антивирь (nod32), не дает загрузить ничего другого антивирусного. Нет возможности войти на сайты производителей антивирусного ПО, к Вам тоже не войти. Загрузить AVZ и hijackthis не удается, логи послать не могу.
В безопасном режиме прогонял curreit и Antiviral tool, понаходили троянов, удалили. Результат тот-же.
Как быть?
Combofix почему-то не могу скачать, после нажатия кнопки Download открывается большой документ с кракозябликами.
Давайте попробуем сделать так:
- скачайте [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPtool[/URL]
- установите и запустите его
- откройте вкладку [B][COLOR="Blue"]Ручное лечение[/COLOR][/B]
- Нажмите кнопку [COLOR="Blue"]«Сбор информации о системе»[/COLOR].
- создавшийся лог прикрепите к новому сообщению
Новый не могу скачать (кракозяблики).
Старый могу запустить только из защищенного режима, логи будут иметь смысл?
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
Из защищенного тож не запускается
[QUOTE='yshl;716977']Combofix почему-то не могу скачать, после нажатия кнопки Download открывается большой документ с кракозябликами.[/QUOTE] Оперой пользуетесь? Если да, то выделите ссылку полностью в адресной строке, нажмите скопировать и вставьте скопированную ссылку в закачки.
Смог запустить только комбофикс и то только из защищенного режима.
вот лог.
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
c:\program files\Common Files\jqyrg4inedzz13m
c:\documents and settings\NetworkService\Application Data\gqlidy.dat
c:\windows\system32\2d75635e.exe
c:\windows\system32\arfvtv.exe
c:\windows\system32\jwnpmr.exe
c:\windows\TEMP\82801a3e3f00
Driver::
abce2c5ae221fae2
NetSvc::
Folder::
c:\program files\Common Files\e8245232
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
- Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
- Сделайте логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log[/COLOR])
Теперь смог логи сделать
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\aec.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
C:\WINDOWS\system32\Drivers\aec.sys замените чистым с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]
Сделайте новые логи
Не могу найти в дистрибутиве файла aec.sys для замены, драйвер мог ставиться с дровами устройств(напр. звуковухи)?
Новые логи сделаны
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
if FileExists ('%windir%\system32\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
begin
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
end
else
begin
AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
end
else
begin
AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
SaveLog('sfcfiles.log');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- файл [COLOR="Blue"][B]sfcfiles.log[/B][/COLOR] прикрепите к сообщению
- Замените файл C:\WINDOWS\system32\Drivers\aec.sys на чистый из вложения.
на aec.zip ругается что не может распаковать (неожиданный конец архива)
не то вложил, исправился
- Восстановите файл C:\WINDOWS\System32\sfcfiles.dll [URL="http://virusinfo.info/attachment.php?attachmentid=264140&d=1282796159"]отсюда[/URL].
файл aec.zip - у меня распавовался хорошо, попробуйте еще раз
aec не распаковался ни на одной из трех совершенно разных машин
с sfcfiles все хуже, распаковал, заменил в защищенном режиме на dll(поменял расширение), винда не грузится совсем больше
Пробовал из консоли восстановления дернуть из дистрибутива при команде expand sfcfiles.dl_ c:\windows\system32\sfcfiles.dll пишет unable to create file
не хочется переустанавливать винду
sfcfiles установил, aec так и не распаковать
На всякий отсылаю новые логи
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\TEMP\8000ac459881','');
DeleteService('b71ad993662ce47a');
DeleteFile('C:\WINDOWS\TEMP\8000ac459881');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
- Замените файл C:\WINDOWS\system32\drivers\aec.sys на чистый [URL="http://exfile.ru/130610"]отсюда[/URL].
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"][COLOR="Blue"][B]Gmer[/B][/COLOR][/URL]
Насчет гмер лога не очень уверен, что так как надо получилось.
В один момент вышла надпись об обнаружении руткита и сканирование закончилось (или прекратилось)
1. - Сохраните текст ниже как [B][COLOR="DeepSkyBlue"]1.bat[/COLOR][/B] в ту же папку, где находится [B][COLOR="Blue"]8mxhw8fc.exe (GMER)[/COLOR][/B] и запустите этот батник(1.bat):
[CODE]
8mxhw8fc.exe -del service nsmrim
8mxhw8fc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nsmrim "
8mxhw8fc.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\nsmrim "
8mxhw8fc.exe -reboot[/CODE]
Компьютер перезагрузится.
После перезагрузки:
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\Drivers\DrvAgent32.sys','');
QuarantineFile('C:\WINDOWS\TEMP\80006017853e','');
DeleteService('c7653c2be9b1f830');
QuarantineFile('C:\WINDOWS\TEMP\80802f9cf6f4','');
QuarantineFile('C:\WINDOWS\TEMP\800069799b89','');
DeleteService('5111ce17549cbbb1');
DeleteService('3f73cf7f6ea439c1');
DeleteFile('C:\WINDOWS\TEMP\800069799b89');
DeleteFile('C:\WINDOWS\TEMP\80802f9cf6f4');
DeleteFile('C:\WINDOWS\TEMP\80006017853e');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR]
Батник не смог выполнить ни одной операции (кроме перезагрузки)
Ругается на неверный параметр