здравствуйте,проблем так таковых нет но есть предположения на вирус:
Printable View
здравствуйте,проблем так таковых нет но есть предположения на вирус:
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\esp1CA6.tmp','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\esp1CA6.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_DeleteSvcReg('sfc');
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Выполните скрипт в AVZ
[code]begin
var ListRegSearch : TStringList;
i : Integer;
FileName, RegKeyName : string;
begin
ClearLog;
FileName:= 'c:\avz.log';
RegSearch('HKLM', '', 'esp1CA6.tmp');
SaveLog(FileName);
ListRegSearch := TStringList.Create;
ListRegSearch.LoadFromFile(FileName);
for i := 0 to ListRegSearch.Count - 1 do
begin
RegKeyName := ListRegSearch.Strings[i];
if Pos('\esp', RegKeyName) > 0 then
begin
Delete(RegKeyName, 1, Pos('\\', RegKeyName) + 1);
Delete(RegKeyName, Pos(' Name=', RegKeyName), Length(RegKeyName));
RegKeyDel('HKLM', RegKeyName);
end;
end;
ListRegSearch.Free;
end. [/code]
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
спасибо за быстрый ответ,1 скрип выполнил
а во 2 скрипте пишит ошубка expected в позиции 2:1
так и должно быть?
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
карантин отправил
[QUOTE='favorit955;771132']а во 2 скрипте пишит ошубка expected в позиции 2:1[/QUOTE]
выполните этот
[CODE]var ListRegSearch : TStringList;
i : Integer;
FileName, RegKeyName : string;
begin
ClearLog;
FileName:= 'c:\avz.log';
RegSearch('HKLM', '', 'esp1CA6.tmp');
SaveLog(FileName);
ListRegSearch := TStringList.Create;
ListRegSearch.LoadFromFile(FileName);
for i := 0 to ListRegSearch.Count - 1 do
begin
RegKeyName := ListRegSearch.Strings[i];
if Pos('\esp', RegKeyName) > 0 then
begin
Delete(RegKeyName, 1, Pos('\\', RegKeyName) + 1);
Delete(RegKeyName, Pos(' Name=', RegKeyName), Length(RegKeyName));
RegKeyDel('HKLM', RegKeyName);
end;
end;
ListRegSearch.Free;
end.[/CODE]
и ждём логи:
повторные логи по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
+ лог полного сканирования MBAM,
+лог c:\avz.log
+ пришлите карантин.
логи завтра выложу,прошу прощения а как мне добавить благодарность?я просто тут новый
[QUOTE='favorit955;771200']прошу прощения а как мне добавить благодарность?[/QUOTE]Либо кнопку [B]СПАСИБО[/B] нажмите, или на изображение весов слева на экране найдите
скоро выложу лог mbam,сканируется
карантин выслал ещо вчера вечером
готово,что дальше?
[QUOTE='favorit955;771407']готово,что дальше?[/QUOTE]
удалите в MBAM
[CODE]Заражённые ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP158\A0134550.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP158\A0135545.dll (Trojan.Patch) -> No action taken.
c:\WINDOWS\$ntservicepackuninstall$\ctfmon.exe (Trojan.Agent) -> No action taken.
c:\program files\mozilla firefox\setupapi.dll (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.[/CODE]
Удалите файлы в карантине доктора Web-a
c:\documents and settings\администратор\doctorweb\quarantine\
+новый лог полного сканирования MBAM
Файл c:\WINDOWS\system32\sfcfiles.dll замените чистым с [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива[/URL]
спс,зделаем
доврый день,все зделал как вы и просили,только не могу понять как заменить файл с дистрибюта??опиши поподробнее!!заранее спасибо
как я понял скачать с другого сайта и просто переместить в папку и нажать заменить?
кстате я поменял антивирус,поставил касперский интернет секюрить и теперь mbam находит 40 вирусов!!в 2 раза больше
это ложное срабатывание?
я ещё отключил востановление системы сегодня
c:\WINDOWS\system32\sfcfiles.dll замените файлом из вложения, предварительно распаковав из архива
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Заражённые папки:
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Заражённые файлы:
c:\program files\avz4\quarantine\2011-02-27\avz00002.dta (Trojan.Patch) -> No action taken.
c:\program files\avz4\quarantine\2011-02-27\bcqr00001.dat (Trojan.Patch) -> No action taken.
c:\program files\avz4\quarantine\2011-02-27\bcqr00002.dat (Trojan.Patch) -> No action taken.
c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0085335.dll (Trojan.Patch) -> No action taken.
c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0085347.dll (Trojan.Patch) -> No action taken.
c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0085356.dll (Trojan.Patch) -> No action taken.
c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0086359.dll (Trojan.Patch) -> No action taken.
c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0086407.dll (Trojan.Patch) -> No action taken.
c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0086412.dll (Trojan.Patch) -> No action taken.
c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0086423.dll (Trojan.Patch) -> No action taken.
c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0089201.dll (Trojan.Patch) -> No action taken.
c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0089212.dll (Trojan.Patch) -> No action taken.
c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0089258.dll (Trojan.Patch) -> No action taken.
c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0089264.dll (Trojan.Patch) -> No action taken.
c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0090305.dll (Trojan.Patch) -> No action taken.
c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0098515.dll (Trojan.Patch) -> No action taken.
c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0098619.dll (Trojan.Patch) -> No action taken.
c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\sfcfiles.dll.bak (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP162\A0136966.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137047.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137052.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137053.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137054.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137055.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137056.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137057.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137058.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137059.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137060.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137061.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137062.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137063.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137064.dll (Trojan.Patch) -> No action taken.
c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137065.dll (Trojan.Patch) -> No action taken.
c:\WINDOWS\system32\sfcfiles.dll.bak (Trojan.Patch) -> No action taken.[/code]
спасибо,все зделал по вашим указаниям
вот логи ;)
карантин отправил
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
готово8)
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша.');
end
else
begin
AddToLog('Файл sfcfiles.dll в кеше не прошел по базе безопасных или отсутствует!');
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386.');
end
else
begin
AddToLog('Файл sfcfiles.dll в i386 не прошел по базе безопасных или отсутствует!');
end;
end;
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
SaveLog('sfcfiles.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика)
+ прикрепите файл sfcfiles.log из папки с AVZ.
готово:>
теперь появилась новая проблема
компьютер зависает каждые 10 минут
не подскажите в чём может быть проблема?