-
Priority Member
- Вес репутации
- 60
По-моему это эпидемия, падают компы нашей домашней сети
Синий экран смерти во время загрузки системы.
Лечил ДрВебом не помогло. Тогда Касперского скачал
Он убил кое-что но проблемы не убавились
Не могу програмно отключить сеть. И адреса автоматически с роутера не устанавливаются. А при попытке программно отключить, иследует объявление о том, что сетью уже кто-то пользуется.
Касперский убил вот это
Код:
08.01.2011 21:46:00 Обнаружено: Trojan.Win32.VBKrypt.apzz C:\WINDOWS\system32\msxslt3.exe/UPX
08.01.2011 21:46:08 Удалено: Trojan.Win32.VBKrypt.apzz C:\WINDOWS\system32\msxslt3.exe
08.01.2011 21:46:57 Обнаружено: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\wuaucldt.exe
08.01.2011 21:54:28 Невозможно удалить: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\wuaucldt.exe Объект заблокирован
08.01.2011 21:54:28 Будет удалено при перезагрузке: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\wuaucldt.exe
08.01.2011 21:54:38 Обнаружено: HEUR:Trojan.Win32.Generic C:\Documents and Settings\Администратор\wuaucldt.exe
08.01.2011 21:54:53 Невозможно удалить: HEUR:Trojan.Win32.Generic C:\Documents and Settings\Администратор\wuaucldt.exe Объект заблокирован
08.01.2011 21:54:53 Будет удалено при перезагрузке: HEUR:Trojan.Win32.Generic C:\Documents and Settings\Администратор\wuaucldt.exe
08.01.2011 21:56:10 Задача завершена
08.01.2011 22:57:15 Обнаружено: HEUR:Trojan-Downloader.Script.Generic C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\PYZ905YJ\ontario[1].htm
08.01.2011 22:58:17 Удалено: HEUR:Trojan-Downloader.Script.Generic C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\PYZ905YJ\ontario[1].htm
08.01.2011 23:01:12 Обнаружено: Trojan-GameThief.Win32.Magania.dpew C:\Documents and Settings\Администратор\Рабочий стол\игры\Бриллиантовый_бум_rus(full).exe/data0000
08.01.2011 23:02:03 Удалено: Trojan-GameThief.Win32.Magania.dpew C:\Documents and Settings\Администратор\Рабочий стол\игры\Бриллиантовый_бум_rus(full).exe
08.01.2011 23:20:00 Обнаружено: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ZB8HM1HE\1[1].exe
08.01.2011 23:20:12 Удалено: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ZB8HM1HE\1[1].exe
Последний раз редактировалось tigr62; 11.01.2011 в 20:36.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SysRun');
if FileExists ('%windir%\system32\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
begin
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
end
else
begin
AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
end
else
begin
AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
SaveLog('sfcfiles.log');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
end;
SaveLog('sfcfiles.log');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- файл sfcfiles.log прикрепите к сообщению
- Сделайте лог MBAM
-
-
Priority Member
- Вес репутации
- 60
Сообщение от
polword
-
Выполните скрипт в AVZ
- Файл
quarantine.zip из папки AVZ загрузите по ссылке
Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по
правилам п.2 и 3 раздела Диагностика.(
virusinfo_syscheck.zip;hijackthis.log)
- файл
sfcfiles.log прикрепите к сообщению
- Сделайте лог
MBAM
Сделал, проблема осталась.
Последний раз редактировалось tigr62; 11.01.2011 в 20:36.
-
- Восстановите файл C:\WINDOWS\System32\sfcfiles.dll из дистрибутива или отсюда
- удалите в MBAM
Код:
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{D7FFD784-5276-42D1-887B-00267870A4C7} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdfss (Rootkit.Agent) -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Заражённые файлы:
c:\WINDOWS\system32\msxslt.dat (Malware.Trace) -> No action taken.
c:\documents and settings\администратор\application data\chkntfs.dat (Malware.Trace) -> No action taken.
cтарые логи прикреплять не стоит....
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
и прикрепите их, а не старые
-
-
Priority Member
- Вес репутации
- 60
Сообщение от
polword
cтарые логи прикреплять не стоит....
- Сделайте повторные логи по
правилам п.2 и 3 раздела Диагностика.(
virusinfo_syscheck.zip;hijackthis.log)
и прикрепите их, а не старые
блиииннн Перепутал папк4и Извиняюсь.
Последний раз редактировалось tigr62; 11.01.2011 в 20:36.
-
В логах чисто.Что с проблемой?
-
-
Priority Member
- Вес репутации
- 60
Сообщение от
polword
В логах чисто.Что с проблемой?
Проблема осталась
принтскрин прилагаю
Последний раз редактировалось tigr62; 11.01.2011 в 20:36.
-
Priority Member
- Вес репутации
- 60
Может с драйверами встроенного сетевого адаптера что-то произошло?
-
Priority Member
- Вес репутации
- 60
Отключил адаптер в Диспетчере устройств, а потом включил снова. IP fдреса прописались автоматически. В интернет выход есть. Сделал новые логи
Последний раз редактировалось tigr62; 11.01.2011 в 20:36.
-
в логах подозрительного нет
-
-
Priority Member
- Вес репутации
- 60
Спасибо! Это похоже уже что-то с системными файлами. Надо будет переустанавливать систему. Отключить программно сеть по прежнему невозможно. Только через Диспетчер устройств
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
-