Помогите что делать с ВИРУСОМ!!!

[kislak]

Добрый день помомогите, у меня обнаружился вирус в обьекте C:\WINDOWS\system32\mssfc.dll Троянская программа Trojan-spy.Win32.Agent.bkbx
Когда каспер при в ключение виндуса сам его находит, нажимаеш удалить(через каспер) он вроде его удаляет перезагружает комп, и ВОУЛЯ вирус снова находится раз 5 удалял не помогает... что делать?прошу помощи...

[olejah]

Выполните правила - поможем.

[kislak]

А как вставить логи? ну 2 архива и текстовой фаил?

[kislak]

Извеняюсь разобрался , вот все сделал по инструкции...

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('G:\autorun.inf','');
 QuarantineFile('H:\autorun.inf','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
 QuarantineFile('c:\program files\opera\setupapi.dll','');
 DeleteFile('c:\program files\opera\setupapi.dll');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Браузер FireFox установлен?

- Сделайте лог полного сканирования МВАМ

[kislak]

quarantine.zip выслал как указано выше, firefox ннет только опера.. щас сделаю лог MBAM

[kislak]

Вот вам лог но чет в логе я не увидел того зараженного фаила что постоянно показывает касперский

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then
 begin             
 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');      
 QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');     
 DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
 end else     
 AddToLog('dllcache\sfcfiles.dll does not exist');
 SaveLog(GetAVZDirectory + 'avz.log');  
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Файл avz.log из папки с АВЗ прикрепите к следующему сообщению

[kislak]

перезагрузился компьютер но каспер опять нашел этот же самый вирус... не помогло.. я правильно понял этот фаил вам прикрепитЬ?

[olejah]

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
 DeleteFile('C:\WINDOWS\system32\mssfc.dll');
 RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');      
 QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');     
 DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
 end.

Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- После всего этого - Возьмите файл у меня из вложений, распакуйте и поместите его по следующим путям(скопировав его) -

C:\WINDOWS\System32\ и

C:\WINDOWS\System32\dllcache\

[kislak]

C:\WINDOWS\System32\dllcache\ такой папки нет даже когда делаеш скрытые отображение,
Кстати прислать карантиновскый фаил нажимаю а мне пишит такой фаил уже был отправлен!!Вернее ошибка загрузки даный фаил уже был отправлен!

[olejah]

Всё остальное выполнили?

Если да, то повторите лог МВАМ.

[kislak]

да тот скрип что был выше я выполним, комп перезагрузился опять каспер поругался на вирус, я создал лог с помощью вашего скрипта карантин 2, пытался отправить оно отказывается вам слать, ваш фаил кинул в папку C:\WINDOWS\System32\
но такой папки на компе не нашлось C:\WINDOWS\System32\dllcache\
ЩАс заново выполню MBAM и скину вам лог, заранее очень благодарен что уделяете мне время и пытаетесь помочь

[olejah]

C:\WINDOWS\system32\mssfc.dll

Странно, но его нет ни в одном из логов, я бил его на угад в скрипте. Поищите его с помощью АВЗ - Сервис - Поиск файлов на диске, отметьте папку C:\WINDOWS\system32\, в маске введите mssfc.dll, если найдёте, отметьте галкой и скопируйте в карантин, а потом нажмите Удалить отмеченные файлы.

[kislak]

Так вот опять проверил MBAM высылаю лог... но чего то я не допонимаю все попытки найти вирус который находил каспер без успешны... вроде как осознавая даже в MBAM не находит этот вирус...если я все верно понимаю

C:\WINDOWS\system32\mssfc.dll
Троянская программа Trojan-spy.Win32.Agent.bkbx

[olejah]

В логе чисто.

[kislak]

яж про тоже но при перезагрузке компьютера касперский опять просит разрешения вылечить Троянская программа Trojan-spy.Win32.Agent.bkbx находящиюся по адрессу
C:\WINDOWS\system32\mssfc.dll и опять все по кругу... яж что и удивляюсь вроде как я понял выше указаные логи которые были сделани не в 1 из логов не укаазн сам этот вирус, даже поиск по гуглу именно Trojan-spy.Win32.Agent.bkbx не было обнаружено единственное что вроде если память не изменяет есть Trojan-spy.Win32.Agent.bibh но это не тот же самый вирус что сидт у меня и гугл бес полезен... Может еще раз сделать процедуру с АВЗ сканом?

Добавлено через 3 минуты

Еслиб Вы, подсказли мне как сделать скрин яб сделал скрин каспера с обноруженным вирусом и выслал бы вам еслиб это как то помогло

[olejah]

Скрин сделать так - во время появления алерта, жмите клавишу Print Screen, потом открываете Paint и вставляете туда(Ctrl+V) или через правка - вставить.

[kislak]

Ну вот тип лога текстового от каспера и скрин!!Скрин чет так не отправляет запаковал его в винрар.. Гляньте пожалуйста быть может вам будет виднее в чем суть проблемы..

[kislak]

ООО боги, я не знаю что произошло, но как отправил вам скрины, решил проверить АВЗ еще раз, ну сделалсь проверка, глянул не чего он не нашел... думаю вот досад.. взял в каспере как обычно нажал исправить (удалить вирус и перезагрузил компьютер )и ВИНДУУС загрузился без каких либо проблем(вернее ВИРУС н обнаружен) Я очень вам благодарен за вашу помощь.. только 1 удивляет как вирус был удален, ведь раньше он востанавливаался както, а просмотрев все логи, он не РАЗУ не был обнаруженНу да и ладно хорошо что все в порядке, ЕЩЕ раз Большое человеческое спасибо вам, вы очень мне помогли и извените за потраченое ваше время