аваст удалил файлы

Printable View

15.11.2014, 08:46
sk80

аваст удалил файлы

здравствуйте.аваст обнаружил якобы вредоносные программы и удалил их.после этого не грузятся некоторые программы и не работает восстановление системы после сбоя-пустое окно.в нете говорят что нет dll-файлов. пытался скачать dll-fix-не получается.помогите пожалуйста.
15.11.2014, 08:47
Info_bot

Уважаемый(ая) [B]sk80[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
15.11.2014, 10:01
thyrex

[url]http://virusinfo.info/pravila.html[/url]
15.11.2014, 21:51
sk80

аваст удалил файлы

аваст удалил какието файлы и теперь не работает восстановление системы после сбоя(пустое окно) и не запускаются некоторые программы.cureit нашел 32 зараженных файла и обезвредил их,но проблема осталась.прикрепляю логи и надеюсь на помощь.спасибо.
15.11.2014, 22:23
thyrex

Что находили Avast и CureIt?

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\TEMP\3fd2c.exe','');
TerminateProcessByName('c:\documents and settings\baydyuk\application data\newsi_608\s_inst.exe');
QuarantineFile('c:\documents and settings\baydyuk\application data\newsi_608\s_inst.exe','');
DeleteFile('c:\documents and settings\baydyuk\application data\newsi_608\s_inst.exe','32');
DeleteFile('C:\TEMP\3fd2c.exe','32');
DeleteFile('C:\WINDOWS\Tasks\4l13hdq9.job','32');
DeleteFile('C:\WINDOWS\Tasks\newSI_608.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
15.11.2014, 23:15
sk80

сделал
16.11.2014, 11:38
thyrex

Это я с собой поговорил что ли?
[quote="thyrex;1188477"]Что находили Avast и CureIt?[/quote]
16.11.2014, 13:31
sk80

извини-я думал ты по отчетам это увидишь.не знаю-какие-то вирусы.как это узнать?в авасте-win32 dropper.а в cureit их было 32 штуки-как посмотреть не знаю.
16.11.2014, 14:50
thyrex

[quote="sk80;1188668"]как посмотреть не знаю[/quote]В логе утилиты
16.11.2014, 15:23
sk80

c:\documents and settings\baydyuk\application data\duyklo\gawa.exe - probably infected with DLOADER.Trojan
c:\documents and settings\baydyuk\application data\duyklo\gawa.exe - infected container
c:\documents and settings\baydyuk\application data\dede\rotue.exe - infected with Trojan.PWS.Panda.655
c:\documents and settings\baydyuk\application data\bysiav\douf.exe - infected with Trojan.DownLoad3.8872
C:\System Volume Information\_restore{9AB0064D-983B-471D-9144-D38B90C4B586}\RP3\A0003894.exe - infected with modification of Trojan.SMSSend.2718
C:\System Volume Information\_restore{9AB0064D-983B-471D-9144-D38B90C4B586}\RP3\A0003897.exe - infected with Trojan.SMSSend.310
C:\TEMP\mediaget-installer-tmp\install.template - infected
C:\TEMP\mediaget-installer-tmp\install.template - is adware program Adware.Downware.9040
C:\TEMP\7zBBAFFF5C\s_inst.exe - infected with Trojan.Fakealert.47370

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

C:\TEMP\tmpsetup2.exe - infected with Trojan.BPlug.216
C:\TEMP\tmpsetup1.exe - infected with Trojan.BPlug.216
C:\TEMP\phnx_tmp.exe - infected with Trojan.BPlug.216
C:\Documents and Settings\Baydyuk\Мои документы\Downloads\MediaGet_id3931138ids2s.exe\data013 - is adware program Adware.Downware.9040

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

щас еще ищу
16.11.2014, 15:41
thyrex

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)[/CODE]

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
16.11.2014, 17:43
sk80

C:\System Volume Information\_restore{9AB0064D-983B-471D-9144-D38B90C4B586}\RP156\A0050188.msi\stream003 - is adware program Adware.Spigot.18
C:\System Volume Information\_restore{9AB0064D-983B-471D-9144-D38B90C4B586}\RP156\A0050186.rbf - is adware program Adware.Spigot.20
C:\TEMP\ish380921\locale\EN.locale - is adware program Adware.InstallCore.93
C:\TEMP\html\page5.html - infected with Trojan.SMSSend.1939
C:\TEMP\PDF_Creator_v1.2_Rus.exe - infected with Trojan.SMSSend.1860
C:\TEMP\3fd2c.exe - infected with BackDoor.Butirat.287
C:\WINDOWS\system32\Desktop_.ini - infected with Win32.HLLW.Gavir.ini
D:\System Volume Information\_restore{9AB0064D-983B-471D-9144-D38B90C4B586}\RP3\A0002124.exe\winzipvinfo - infected with Trojan.SMSSend.1257
D:\System Volume Information\_restore{9AB0064D-983B-471D-9144-D38B90C4B586}\RP3\A0002124.exe\_ЪА\skrudzh362.fstr.kst\data001 - infected with modification of Trojan.SMSSend.2718
D:\System Volume Information\_restore{9AB0064D-983B-471D-9144-D38B90C4B586}\RP3\A0002124.exe\_ЪА\wdiva42rom.fstr.kst\data001 - infected with Trojan.SMSSend.310
C:\System Volume Information\_restore{9AB0064D-983B-471D-9144-D38B90C4B586}\RP3\A0012746.exe - infected with Trojan.SMSSend.2898
вроде все

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

сделал
17.11.2014, 17:39
sk80

ауу
17.11.2014, 19:07
thyrex

Сначала пишете ответ не читая, а потом аукаете...

Поместите в карантин МВАМ всё, [B]кроме[/B]
[CODE]Registry Data: 3
PUM.Hijack.Help, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoSMHelp, 1, Good: (0), Bad: (1),,[9e4b4ceedca0d1657e3053f1bc49f50b]
PUM.Hijack.Help, HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoSMHelp, 1, Good: (0), Bad: (1),,[9b4e2d0dc7b50630e6c83e06b15441bf]
PUM.Hijack.Help, HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoSMHelp, 1, Good: (0), Bad: (1),,[47a20c2e96e641f5347ae85c32d31ae6]

Files: 78
Trojan.Downloader.Agent, C:\Documents and Settings\Baydyuk\?????? ??????N????µ??N?N?\Downloads\DLL_Files_Fixer_3.0.81.2643.21068.zip, , [aa3ff04a14683303f96b7bc243c2956b],
Trojan.Downloader.Agent, C:\Documents and Settings\Baydyuk\?????? ??????N????µ??N?N?\Downloads\DLL_Files_Fixer_3.0.81.2643_Activator.49c3b.zip, , [8b5e55e5502cd3634f152c11d92c1be5],
Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [f7f2a9913d3f76c0473d68945aa7817f],
[/CODE]
18.11.2014, 15:51
sk80

сделал-пока ничего не изменилось
18.11.2014, 19:46
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
19.11.2014, 13:47
sk80

сделал
19.11.2014, 20:41
thyrex

Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] [B][COLOR="#0000CD"]в корень диска С[/COLOR][/B]
[code]KillAll::

File::

Driver::

Folder::
c:\documents and settings\Baydyuk\Application Data\phoenixguard
c:\documents and settings\Baydyuk\Local Settings\Application Data\Phoenix
c:\documents and settings\Baydyuk\Application Data\everysale3
c:\documents and settings\Baydyuk\Local Settings\Application Data\Amigo
c:\documents and settings\Baydyuk\Application Data\newSI_608

Registry::

FileLook::

DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://savepic.org/5315621m.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
20.11.2014, 15:01
sk80

сделал
20.11.2014, 21:00
thyrex

Папку c:\documents and settings\Baydyuk\Application Data\Search Settings удалите
21.11.2014, 12:55
sk80

удалил
21.11.2014, 17:55
thyrex

Что с проблемой?
21.11.2014, 20:58
sk80

осталась.восстановление системы не работает.не устанавливаются wot.
21.11.2014, 22:05
thyrex

а служба восстановления системы включена?
22.11.2014, 07:32
sk80

включена.дело в том что окно открывается пустое и то со второй попытки.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

обновил microsoft visual c++ не помогло
в командной строке ввожу sfc /scannow пишет что файлы заменены неизвестными версиями и требует оригинальный диск(или я не туда копаю)
22.11.2014, 09:55
thyrex

Копаете туда. Стало быть нужен диск, с которого ставилась система
22.11.2014, 11:25
sk80

диск наверно не найду.что делать-переустанавливать? кстати-cureit нашел еще trojan fakealert и trojan packed
22.11.2014, 19:34
thyrex

[quote="sk80;1191295"]кстати-cureit нашел еще trojan fakealert[/quote]Это он выругался на патченые файлы Вашей сборочной системы

Больше ничем помочь не сможем
22.11.2014, 21:51
sk80

спасибо и за это.
22.11.2014, 22:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]