При выключении компьютера появляться синий экран на 1-2 секунды,и компьютер перезагружается!
Что то он вообще подвисает!
Printable View
При выключении компьютера появляться синий экран на 1-2 секунды,и компьютер перезагружается!
Что то он вообще подвисает!
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.wsh','');
QuarantineFile('C:\Documents and Settings\Компьютер\Application Data\netprotocol.dll','');
QuarantineFile('C:\WINDOWS\system32\rescue32.exe','');
QuarantineFile('c:\program files\icecast2 win32\icecastservice.exe','');
QuarantineFile('c:\program files\common files\microsoftsiihield\svchost.exe','');
TerminateProcessByName('c:\program files\common files\microsoftsiihield\svchost.exe');
DeleteFile('c:\program files\common files\microsoftsiihield\svchost.exe');
DeleteFile('C:\WINDOWS\system32\rescue32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Rescue');
DeleteFile('C:\Documents and Settings\Компьютер\Application Data\netprotocol.dll');
DeleteFile('D:\autorun.wsh');
if FileExists ('%windir%\system32\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
begin
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
end
else
begin
AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
end
else
begin
AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
SaveLog('sfcfiles.log');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- файл [COLOR="Blue"][B]sfcfiles.log[/B][/COLOR] прикрепите к сообщению
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
quarantine.zip отправил псмотри пришел ли или нет!
virusinfo_syscheck.zip это делать мне где то часов 5 очень долго можно ли не делать?
quarantine.zip - не пришел
оставьте на ночь и пусть делается... Будем ждать лог
quarantine.zip сейчас ещё раз опробую!
логи приложил
quarantine.zip у меня не получаеться отправить!
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
Вот логи приложил + пропал звук во всех браузерах что то было подобное
как то делал ..
вроде что то связано с файлом setuppapi.dll
Хелперы вы тут?
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] -
[CODE]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\h264 for iptvplayer (P2P.Dropper) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv32 (Trojan.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\idln2 (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные папки:
C:\Documents and Settings\Компьютер\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66} (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\Target Marketing Agency (Adware.TMAagent) -> No action taken.
C:\Program Files\Common Files\Target Marketing Agency\TMAgent (Adware.TMAagent) -> No action taken.
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension (Adware.TMAagent) -> No action taken.
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\chrome (Adware.TMAagent) -> No action taken.
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components (Adware.TMAagent) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
C:\Program Files\Common Files\Elecard\H264uninst.exe (P2P.Dropper) -> No action taken.
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\aupdate.exe (Adware.TMAagent) -> No action taken.
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmasrv.exe (Adware.TMAgent) -> No action taken.
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\Uninstaller.exe (Adware.TMAagent) -> No action taken.
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components\fftma.dll (Adware.TMAagent) -> No action taken.
D:\System Volume Information\_restore{89616DFB-FB05-47A8-85F4-4720EED700BE}\RP298\A0287106.EXE (Trojan.Downloader) -> No action taken.
D:\System Volume Information\_restore{89616DFB-FB05-47A8-85F4-4720EED700BE}\RP227\A0217986.EXE (Trojan.Downloader) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome.manifest (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\extension.reg (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\install.rdf (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\extensions.xul (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\logo.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.js (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.xul (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q_gray.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x_gray.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js.old (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\license.txt (Adware.TMAagent) -> No action taken.
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\chrome.manifest (Adware.TMAagent) -> No action taken.
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\install.rdf (Adware.TMAagent) -> No action taken.
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\chrome\tmagent.jar (Adware.TMAagent) -> No action taken.
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components\nsIAdHandler.xpt (Adware.TMAagent) -> No action taken.
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components\nsISteadway.xpt (Adware.TMAagent) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Documents and Settings\Компьютер\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Компьютер\Local Settings\Temp\pdfupd.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\explorer.vbk (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\WINDOWS\system32\sfcfiles.dll (Trojan.Patched) -> No action taken.
[/CODE]
- Возьмите файл у меня из вложений, распакуйте и поместите в папку [B]C:\WINDOWS\system32[/B]
Сначало нужно сделать полное сканирование а потом удалять?
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Также файл sfcfiles распаковал
пробую заменить пишит что невозможно так как файл с таким именем уже есть
что делать?
Именно так, я ссылку дал как это делать, под словами "Удалите в МВАМ"
- Сначала удалите в МВАМ всё, что я сказал, а потом заменяем файл
Всё сделал как вы говорили что делать дальше?
Повторите лог МВАМ
логи чистые..
при загрузке высвечиваеться экран с ожиданием 10 секунд
[size="1"][color="#666686"][B][I]Добавлено через 25 минут[/I][/B][/color][/size]
ап
[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]
Хелперы вы тут?
ну что ?
что делать у меня компьютер при выключении теперь зависает.
и при вкючение сканирует диск на ошибки как это сканирование убрать?
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix[/URL]
вот логи
Компьютер стал думать быстрее но осталось две проблемы!
компьютер при выключении зависает анологично и пре перезагрузке
и не открывает презинтации
при переустановке Office ругается на шрифты
Может быть это из-за ubuntu
появляться при включениии окно граб можно ли удалить её без установочного диска виндовса?
[size="1"][color="#666686"][B][I]Добавлено через 22 минуты[/I][/B][/color][/size]
Жду дальнейших указаний!
[size="1"][color="#666686"][B][I]Добавлено через 27 минут[/I][/B][/color][/size]
Вы обидились на меня?
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Гляньте логи!
Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::
File::
C:\Program Files\Mozilla Firefox\1setupapi.dll
C:\Program Files\Internet Explorer\1setupapi.dll
C:\WINDOWS\system32\ИXNЉ
C:\WINDOWS\system32\ђПJЉ
Driver::
NetSvc::
Folder::
C:\Program Files\Common Files\43F7FFFEa
C:\Program Files\Common Files\43F7FC06a
Registry::
FileLook::
DirLook::[/CODE]
После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\1sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\1setupapi.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
Карантин отослал
логи приложил
Осталось проблема мой компьютер очень долго открываеться высвечивается фонарик
,при выключении зависает и при запуске power point идет какая то установка
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
Хелперы ау?
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
так же висит неопознанное устройство
[size="1"][color="#666686"][B][I]Добавлено через 9 часов 55 минут[/I][/B][/color][/size]
Хелперы помогите!
Сделайте повторный лог КомбоФикс.
вот логи
Переделайте лог