-
Junior Member
- Вес репутации
- 53
Тормозит ПК
Добрый день! У меня следующая проблема: сильно тормозит комп и при завершении работы Windows виснет на "Сохранение параметров"
Нод находит 2 вируса
C:\WINDOWS\system32\sfcfiles.dll модифицированный Win32/Hodprot.AP троянская программа очистка невозможна
и
C:\System Volume Information\_restore{30480941-CBC0-4464-B99C-0D649A8701CF}\RP117\A0039698.exe модифицированный Win32/Kryptik.NEO троянская программа удален - изолирован NT AUTHORITY\SYSTEM
которые время от времени снова появляются и снова блокируются антивиром.
Помогите, пож-та.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\system32\mskcqdqf.exe','');
DeleteService('Network Adapter Events');
DeleteFile('C:\WINDOWS\system32\mskcqdqf.exe');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
if FileExists ('%windir%\system32\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
begin
AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
end
else
begin
AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end
else
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end
else
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end
else
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end
else
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
SaveLog('sfcfiles.log');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- файл sfcfiles.log прикрепите к сообщению
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 53
-
- удалите в MBAM
Код:
Заражённые модули в памяти:
c:\WINDOWS\system32\cgmopenbho.dll (Trojan.BHO) -> No action taken.
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56B38F40-4E70-11d4-A076-0080AD86BA2F} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{56B38F40-4E70-11d4-A076-0080AD86BA2F} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{56B38F41-4E70-11D4-A076-0080AD86BA2F} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{56B38F42-4E70-11D4-A076-0080AD86BA2F} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\WebCGMHlprObj.WebCGMHlprObj.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\WebCGMHlprObj.WebCGMHlprObj (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{56B38F40-4E70-11D4-A076-0080AD86BA2F} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{56B38F40-4E70-11D4-A076-0080AD86BA2F} (Trojan.BHO) -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\SYSTEM32\CGMOPENBHO.DLL (Trojan.BHO) -> Value: CGMOPENBHO.DLL -> No action taken.
Заражённые файлы:
c:\program files\mozilla firefox\setupapi.dll (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\cgmopenbho.dll (Trojan.BHO) -> No action taken.
- Сделайте повторный лог MBAM
-
-
Junior Member
- Вес репутации
- 53
Вот.
Я так понимаю, что ПК вылечен? Спасибо огромное!
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
да, антивир молчит и ничего больше не находит.
Еще раз, огромное спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.1015, BitDefender: Gen:Variant.Kazy.20567, AVAST4: Win32:Hodprot-A [Rtk] )
-