При выключении компьютера появляться синий экран на 1-2 секунды,и компьютер перезагружается!
Что то он вообще подвисает!
При выключении компьютера появляться синий экран на 1-2 секунды,и компьютер перезагружается!
Что то он вообще подвисает!
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\autorun.wsh',''); QuarantineFile('C:\Documents and Settings\Компьютер\Application Data\netprotocol.dll',''); QuarantineFile('C:\WINDOWS\system32\rescue32.exe',''); QuarantineFile('c:\program files\icecast2 win32\icecastservice.exe',''); QuarantineFile('c:\program files\common files\microsoftsiihield\svchost.exe',''); TerminateProcessByName('c:\program files\common files\microsoftsiihield\svchost.exe'); DeleteFile('c:\program files\common files\microsoftsiihield\svchost.exe'); DeleteFile('C:\WINDOWS\system32\rescue32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System Rescue'); DeleteFile('C:\Documents and Settings\Компьютер\Application Data\netprotocol.dll'); DeleteFile('D:\autorun.wsh'); if FileExists ('%windir%\system32\sfcfiles.dll') then begin if CheckFile('%windir%\system32\sfcfiles.dll')=3 then begin QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\sfcfiles.dll',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных'); end else begin AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных'); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\sfcfiles.dll',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); end; end else begin AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\'); QuarantineFile('%windir%\system32\Drivers\sfc.SYS',''); QuarantineFile('%windir%\system32\mssfc.dll',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\mssfc.dll'); if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then begin if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша'); end else begin AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в кеше'); SaveLog('sfcfiles.log'); if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then begin if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386'); end else begin AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных'); end; end else begin AddToLog('Файл sfcfiles.dll отсутствует в i386'); end; end; DeleteFile('%windir%\system32\sfcfiles.bak'); end; SaveLog('sfcfiles.log'); BC_ImportALL; ExecuteSysClean; BC_DeleteFile('%windir%\System32\sfcfiles.bak'); BC_DeleteSvc('sfc'); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- файл sfcfiles.log прикрепите к сообщению
- Сделайте лог MBAM
quarantine.zip отправил псмотри пришел ли или нет!
virusinfo_syscheck.zip это делать мне где то часов 5 очень долго можно ли не делать?
quarantine.zip - не пришел
оставьте на ночь и пусть делается... Будем ждать лог
quarantine.zip сейчас ещё раз опробую!
логи приложил
quarantine.zip у меня не получаеться отправить!
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys'); DeleteFile('C:\WINDOWS\system32\mssfc.dll'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('sfc'); BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM
Вот логи приложил + пропал звук во всех браузерах что то было подобное
как то делал ..
вроде что то связано с файлом setuppapi.dll
Последний раз редактировалось to4ka; 13.10.2010 в 20:11.
Хелперы вы тут?
Удалите в МВАМ -
- Возьмите файл у меня из вложений, распакуйте и поместите в папку C:\WINDOWS\system32Код:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\h264 for iptvplayer (P2P.Dropper) -> No action taken. HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv32 (Trojan.Agent) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\Software\Microsoft\idln2 (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken. Зараженные папки: C:\Documents and Settings\Компьютер\Application Data\FieryAds (Adware.FieryAds) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66} (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\Target Marketing Agency (Adware.TMAagent) -> No action taken. C:\Program Files\Common Files\Target Marketing Agency\TMAgent (Adware.TMAagent) -> No action taken. C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension (Adware.TMAagent) -> No action taken. C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\chrome (Adware.TMAagent) -> No action taken. C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components (Adware.TMAagent) -> No action taken. C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. C:\Program Files\Common Files\Elecard\H264uninst.exe (P2P.Dropper) -> No action taken. C:\Program Files\Common Files\Target Marketing Agency\TMAgent\aupdate.exe (Adware.TMAagent) -> No action taken. C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmasrv.exe (Adware.TMAgent) -> No action taken. C:\Program Files\Common Files\Target Marketing Agency\TMAgent\Uninstaller.exe (Adware.TMAagent) -> No action taken. C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components\fftma.dll (Adware.TMAagent) -> No action taken. D:\System Volume Information\_restore{89616DFB-FB05-47A8-85F4-4720EED700BE}\RP298\A0287106.EXE (Trojan.Downloader) -> No action taken. D:\System Volume Information\_restore{89616DFB-FB05-47A8-85F4-4720EED700BE}\RP227\A0217986.EXE (Trojan.Downloader) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome.manifest (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\extension.reg (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\install.rdf (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\extensions.xul (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\logo.png (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.js (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.xul (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q.png (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q_gray.png (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x.png (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x_gray.png (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js.old (Trojan.Kerlofost) -> No action taken. C:\Program Files\Common Files\Target Marketing Agency\TMAgent\license.txt (Adware.TMAagent) -> No action taken. C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\chrome.manifest (Adware.TMAagent) -> No action taken. C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\install.rdf (Adware.TMAagent) -> No action taken. C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\chrome\tmagent.jar (Adware.TMAagent) -> No action taken. C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components\nsIAdHandler.xpt (Adware.TMAagent) -> No action taken. C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components\nsISteadway.xpt (Adware.TMAagent) -> No action taken. C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken. C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken. C:\Documents and Settings\Компьютер\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken. C:\Documents and Settings\Администратор\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken. C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken. C:\Documents and Settings\Компьютер\Local Settings\Temp\pdfupd.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\explorer.vbk (Heuristics.Reserved.Word.Exploit) -> No action taken. C:\WINDOWS\system32\sfcfiles.dll (Trojan.Patched) -> No action taken.
Последний раз редактировалось olejah; 29.10.2010 в 18:16.
Сначало нужно сделать полное сканирование а потом удалять?
Добавлено через 5 минут
Также файл sfcfiles распаковал
пробую заменить пишит что невозможно так как файл с таким именем уже есть
что делать?
Последний раз редактировалось to4ka; 13.10.2010 в 21:21. Причина: Добавлено
Именно так, я ссылку дал как это делать, под словами "Удалите в МВАМ"
- Сначала удалите в МВАМ всё, что я сказал, а потом заменяем файл
Всё сделал как вы говорили что делать дальше?
Повторите лог МВАМ
логи чистые..
при загрузке высвечиваеться экран с ожиданием 10 секунд
Добавлено через 25 минут
ап
Добавлено через 9 минут
Хелперы вы тут?
Последний раз редактировалось to4ka; 16.10.2010 в 21:30. Причина: Добавлено
ну что ?
что делать у меня компьютер при выключении теперь зависает.
и при вкючение сканирует диск на ошибки как это сканирование убрать?
Сделайте лог ComboFix
вот логи
Компьютер стал думать быстрее но осталось две проблемы!
компьютер при выключении зависает анологично и пре перезагрузке
и не открывает презинтации
при переустановке Office ругается на шрифты
Может быть это из-за ubuntu
появляться при включениии окно граб можно ли удалить её без установочного диска виндовса?
Добавлено через 22 минуты
Жду дальнейших указаний!
Добавлено через 27 минут
Вы обидились на меня?
Добавлено через 4 минуты
Гляньте логи!
Последний раз редактировалось to4ka; 17.10.2010 в 21:20. Причина: Добавлено
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: C:\Program Files\Mozilla Firefox\1setupapi.dll C:\Program Files\Internet Explorer\1setupapi.dll C:\WINDOWS\system32\ИXNЉ C:\WINDOWS\system32\ђПJЉ Driver:: NetSvc:: Folder:: C:\Program Files\Common Files\43F7FFFEa C:\Program Files\Common Files\43F7FC06a Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
- Выполните скрипт в AVZ
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\1sfcfiles.dll',''); QuarantineFile('C:\WINDOWS\system32\1setupapi.dll',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Уважаемый(ая) to4ka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.