Добрый день. После удаления баннера невозможно зайти на какие-либо антивирусные сайты. Логи прикреплены. Заранее признателен за помощь.
Добрый день. После удаления баннера невозможно зайти на какие-либо антивирусные сайты. Логи прикреплены. Заранее признателен за помощь.
Пофиксите в hijackthis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=D:\WINDOWS\SYSTEM32\userinit.exe,D:\WINDOWS\system32\sdra64.exe,
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('D:\WINDOWS\system32\sfcfiles.dll',' '); QuarantineFile('D:\WINDOWS\system32\sfcfiles.dll.BAK',''); QuarantineFile('D:\WINDOWS\system32\wuapi.dll.wusetup.115546.bak',''); QuarantineFile('D:\WINDOWS\system32\wuauclt.exe.wusetup.115906.bak',''); QuarantineFile('D:\WINDOWS\system32\mstask.dll',''); QuarantineFile('D:\WINDOWS\system32\x',''); QuarantineFile('D:\WINDOWS\system32\rjuq.mpo',''); QuarantineFile('D:\WINDOWS\system32\jriw.eao',''); DelCLSID('Windows Sidebar'); QuarantineFile('D:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('D:\WINDOWS\System32\Drivers\sfc.SYS',''); QuarantineFile('d:\windows\system32\notepad.exe',''); DeleteFile('D:\WINDOWS\System32\Drivers\sfc.SYS'); DeleteFile('D:\WINDOWS\system32\sdra64.exe'); DeleteFile('D:\WINDOWS\system32\jriw.eao'); DeleteFile('D:\WINDOWS\system32\rjuq.mpo'); DeleteFile('D:\WINDOWS\system32\x'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Сделайте новые логи
Вот новые логи.Карантин отправил,но в 1ый раз как-то неправильно сделал.Прошу прощения.
Пофиксите в hijackthis:
Выполните скрипт в AVZ:Код:O20 - AppInit_DLLs: ,
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('D:\WINDOWS\I386\SVCPACK\DTShEx.exe',''); QuarantineFile('D:\WINDOWS\System32\Drivers\sfc.SYS',''); DeleteFile('D:\WINDOWS\System32\Drivers\sfc.SYS'); RenameFile('D:\WINDOWS\System32\sfcfiles.dll','D:\WINDOWS\System32\sfcfiles.bak'); RenameFile('D:\WINDOWS\system32\sfcfiles.dll.BAK','D:\WINDOWS\system32\sfcfiles.dll'); DeleteFile('D:\WINDOWS\System32\sfcfiles.bak'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(13); BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Сделайте новые логи
Добрый день. Новые логи во вложении.Карантин был загружен.Спасибо
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('D:\WINDOWS\system32\sfcfiles.bak'); DeleteFile('D:\WINDOWS\system32\sfcfiles.dll.BAK'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(13); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM
Новые логи во вложении.Спасибо
Добрый день.Прошу прощения за длительное молчание.Новый лог МБАМ во вложении. К сожалению на данный момент возникла следующая проблема - не запускаются ни AVZ ни HiJack. Окно открывается на секунду - две и снова закрывается. Всё что нашёл MBAM было удалено.
сделаем давайте так:
- скачайте AVPtool
- сделайте лог в нём
Добрый день.Лог AVP во вложении.Заранее признателен за ответ.
- выполните скрипт в AVPTool
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('D:\WINDOWS\system32\mssfc.dll',''); QuarantineFile('D:\WINDOWS\system32\uxetpd.exe',''); QuarantineFile('D:\WINDOWS\system32\786ae17a.exe',''); QuarantineFile('D:\WINDOWS\system32\39555f0a.exe',''); DeleteFile('D:\WINDOWS\system32\39555f0a.exe'); DeleteFile('D:\WINDOWS\system32\786ae17a.exe'); DeleteFile('D:\WINDOWS\system32\uxetpd.exe'); DeleteFile('D:\WINDOWS\system32\mssfc.dll'); QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll',''); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из корня диска С загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive('C:\quarantine.zip'); end.
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
добрый день.Огромное спасибо за помощь.Новые логи во вложении.Карантин также был отправлен.
Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Generic Host for Win32 Services'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\plugin'); QuarantineFile('D:\WINDOWS\system32\jtxaotf.exe',''); DeleteFile('D:\WINDOWS\system32\jtxaotf.exe'); DeleteFile('D:\Program Files\Common Files\keylog.txt'); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); SaveLog('sfcfiles.log'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); SaveLog('sfcfiles.log'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); SaveLog('sfcfiles.log'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); SaveLog('sfcfiles.log'); end; end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); SaveLog('sfcfiles.log'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); SaveLog('sfcfiles.log'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); SaveLog('sfcfiles.log'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); BC_ImportALL; ExecuteSysClean; BC_DeleteFile('%windir%\System32\sfcfiles.bak'); BC_DeleteSvc('sfc'); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог virusinfo_syscheck.zip
- файл sfcfiles.log прикрепите к сообщению
Новые логи во вложении.Карантин отправлен.
В логах чисто. Если ничего больше не беспокоит, обновляйте систему:
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
Понял.Огромное спасибо.
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 25
- В ходе лечения обнаружены вредоносные программы:
- d:\windows\system32\sfcfiles.bak - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.641, BitDefender: Trojan.Generic.3017090, AVAST4: Win32:Patched-KP [Trj] )
- d:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.641, BitDefender: Trojan.Generic.3017090, AVAST4: Win32:Patched-KP [Trj] )
Уважаемый(ая) BABAX, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.