Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 39.

проблемы с антивирями (заявка № 89432)

  1. #1
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    81
    Вес репутации
    35

    проблемы с антивирями

    Вчера что-то цапнул из сети
    Зловред выгрузил антивирь (nod32), не дает загрузить ничего другого антивирусного. Нет возможности войти на сайты производителей антивирусного ПО, к Вам тоже не войти. Загрузить AVZ и hijackthis не удается, логи послать не могу.
    В безопасном режиме прогонял curreit и Antiviral tool, понаходили троянов, удалили. Результат тот-же.
    Как быть?


    Combofix почему-то не могу скачать, после нажатия кнопки Download открывается большой документ с кракозябликами.
    Последний раз редактировалось yshl; 07.10.2010 в 09:40. Причина: добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Давайте попробуем сделать так:
    - скачайте AVPtool
    - установите и запустите его
    - откройте вкладку Ручное лечение
    - Нажмите кнопку «Сбор информации о системе».
    - создавшийся лог прикрепите к новому сообщению

  4. #3
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    81
    Вес репутации
    35
    Новый не могу скачать (кракозяблики).
    Старый могу запустить только из защищенного режима, логи будут иметь смысл?

    Добавлено через 9 минут

    Из защищенного тож не запускается
    Последний раз редактировалось yshl; 07.10.2010 в 11:31. Причина: Добавлено

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,460
    Вес репутации
    1269
    Цитата Сообщение от yshl Посмотреть сообщение
    Combofix почему-то не могу скачать, после нажатия кнопки Download открывается большой документ с кракозябликами.
    Оперой пользуетесь? Если да, то выделите ссылку полностью в адресной строке, нажмите скопировать и вставьте скопированную ссылку в закачки.

  6. #5
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    81
    Вес репутации
    35
    Смог запустить только комбофикс и то только из защищенного режима.
    вот лог.
    Последний раз редактировалось yshl; 19.10.2010 в 21:51.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\program files\Common Files\jqyrg4inedzz13m
    c:\documents and settings\NetworkService\Application Data\gqlidy.dat
    c:\windows\system32\2d75635e.exe
    c:\windows\system32\arfvtv.exe
    c:\windows\system32\jwnpmr.exe
    c:\windows\TEMP\82801a3e3f00
    
    Driver::
    abce2c5ae221fae2
    
    NetSvc::
    
    Folder::
    c:\program files\Common Files\e8245232
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    "Userinit"="c:\windows\system32\userinit.exe,"
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    - Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    - Сделайте логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)

  8. #7
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    81
    Вес репутации
    35
    Теперь смог логи сделать
    Последний раз редактировалось yshl; 19.10.2010 в 21:51.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\Drivers\aec.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    C:\WINDOWS\system32\Drivers\aec.sys замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    81
    Вес репутации
    35
    Не могу найти в дистрибутиве файла aec.sys для замены, драйвер мог ставиться с дровами устройств(напр. звуковухи)?
    Новые логи сделаны
    Последний раз редактировалось yshl; 19.10.2010 в 21:51.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      if FileExists ('%windir%\system32\sfcfiles.dll') then
       begin
        if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
           begin
             QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
             QuarantineFile('%windir%\system32\sfcfiles.dll','');
             QuarantineFile('%windir%\system32\mssfc.dll','');
             DeleteFile('%windir%\system32\drivers\sfc.sys');
             DeleteFile('%windir%\system32\mssfc.dll');
             AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
           end
          else
           begin
             AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
             QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
             QuarantineFile('%windir%\system32\sfcfiles.dll','');
             QuarantineFile('%windir%\system32\mssfc.dll','');
             DeleteFile('%windir%\system32\drivers\sfc.sys');
             DeleteFile('%windir%\system32\mssfc.dll');
             RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
             if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
               begin
                if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
                  begin
                   CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                   AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
                  end
                 else
                  begin
                   AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
                   SaveLog('sfcfiles.log');
                   if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                     begin
                      if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                        begin
                         CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                         AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                        end
                       else
                        begin
                         AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                        end;
                     end
                    else
                     begin
                      AddToLog('Файл sfcfiles.dll отсутствует в i386');
                     end;
                  end;
               end
              else
               begin
                AddToLog('Файл sfcfiles.dll отсутствует в кеше');
                if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                  begin
                   if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                     begin
                      CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                      AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                     end
                   else
                    begin
                      AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                    end;
                  end
                 else
                  begin
                   AddToLog('Файл sfcfiles.dll отсутствует в i386');
                  end;
               end;
             DeleteFile('%windir%\system32\sfcfiles.bak');
           end;
       end
      else
       begin
         AddToLog('файл sfcfiles.dll отсутствует в  %windir%\system32\');
         QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
         QuarantineFile('%windir%\system32\mssfc.dll','');
         DeleteFile('%windir%\system32\drivers\sfc.sys');
         DeleteFile('%windir%\system32\mssfc.dll');
         if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
           begin
            if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
              begin
               CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
               AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
              end
             else
              begin
               AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
               SaveLog('sfcfiles.log');
               if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                 begin
                  if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                    begin
                     CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                     AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                    end
                   else
                    begin
                     AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                    end;
                 end
                else
                 begin
                  AddToLog('Файл sfcfiles.dll отсутствует в i386');
                 end;
              end;
           end
          else
           begin
            AddToLog('Файл sfcfiles.dll отсутствует в кеше');
            SaveLog('sfcfiles.log');
            if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
              begin
               if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                 begin
                  CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                  AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                 end
               else
                begin
                  AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                end;
              end
             else
              begin
               AddToLog('Файл sfcfiles.dll отсутствует в i386');
              end;
           end;
         DeleteFile('%windir%\system32\sfcfiles.bak');
       end;
     SaveLog('sfcfiles.log');
     BC_ImportALL;
     ExecuteSysClean;
     BC_DeleteFile('%windir%\System32\sfcfiles.bak');
     BC_DeleteSvc('sfc');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - файл sfcfiles.log прикрепите к сообщению

    - Замените файл C:\WINDOWS\system32\Drivers\aec.sys на чистый из вложения.
    Вложения Вложения
    • Тип файла: zip aec.zip (101.6 Кб, 9 просмотров)

  12. #11
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    81
    Вес репутации
    35
    на aec.zip ругается что не может распаковать (неожиданный конец архива)
    Последний раз редактировалось olejah; 08.10.2010 в 20:37. Причина: Карантин в теме неуместен!

  13. #12
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    81
    Вес репутации
    35
    не то вложил, исправился

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Восстановите файл C:\WINDOWS\System32\sfcfiles.dll отсюда.

    файл aec.zip - у меня распавовался хорошо, попробуйте еще раз

  15. #14
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    81
    Вес репутации
    35
    aec не распаковался ни на одной из трех совершенно разных машин
    с sfcfiles все хуже, распаковал, заменил в защищенном режиме на dll(поменял расширение), винда не грузится совсем больше
    Пробовал из консоли восстановления дернуть из дистрибутива при команде expand sfcfiles.dl_ c:\windows\system32\sfcfiles.dll пишет unable to create file
    не хочется переустанавливать винду

  16. #15
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    81
    Вес репутации
    35
    sfcfiles установил, aec так и не распаковать

  17. #16
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    81
    Вес репутации
    35
    На всякий отсылаю новые логи

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\TEMP\8000ac459881','');
     DeleteService('b71ad993662ce47a');
     DeleteFile('C:\WINDOWS\TEMP\8000ac459881');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip;
    - Замените файл C:\WINDOWS\system32\drivers\aec.sys на чистый отсюда.
    - Сделайте лог Gmer

  19. #18
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    81
    Вес репутации
    35
    Насчет гмер лога не очень уверен, что так как надо получилось.
    В один момент вышла надпись об обнаружении руткита и сканирование закончилось (или прекратилось)

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    1. - Сохраните текст ниже как 1.bat в ту же папку, где находится 8mxhw8fc.exe (GMER) и запустите этот батник(1.bat):
    Код:
    8mxhw8fc.exe -del service nsmrim 
    8mxhw8fc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nsmrim "
    8mxhw8fc.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\nsmrim "
    8mxhw8fc.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      QuarantineFile('C:\WINDOWS\system32\Drivers\DrvAgent32.sys','');
     QuarantineFile('C:\WINDOWS\TEMP\80006017853e','');
     DeleteService('c7653c2be9b1f830');
     QuarantineFile('C:\WINDOWS\TEMP\80802f9cf6f4','');
     QuarantineFile('C:\WINDOWS\TEMP\800069799b89','');
     DeleteService('5111ce17549cbbb1');
     DeleteService('3f73cf7f6ea439c1');
     DeleteFile('C:\WINDOWS\TEMP\800069799b89');
     DeleteFile('C:\WINDOWS\TEMP\80802f9cf6f4');
     DeleteFile('C:\WINDOWS\TEMP\80006017853e');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог virusinfo_syscheck.zip

  21. #20
    Junior Member Репутация
    Регистрация
    10.09.2008
    Сообщений
    81
    Вес репутации
    35
    Батник не смог выполнить ни одной операции (кроме перезагрузки)
    Ругается на неверный параметр

  • Уважаемый(ая) yshl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Другие проблемы (включая проблемы с оборудованием)... (заявка №39355)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 25.01.2011, 15:00
    2. Другие проблемы (включая проблемы с оборудованием)... (заявка №14614)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 06.04.2010, 02:00
    3. 1) Другие проблемы (включая проблемы с оборудованием) (заявка №13152)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 28.03.2010, 14:00
    4. Профилактика разными антивирями
      От Gasan777 в разделе Антивирусы
      Ответов: 1
      Последнее сообщение: 04.03.2010, 13:55
    5. Ответов: 4
      Последнее сообщение: 28.03.2009, 22:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01661 seconds with 17 queries