здравствуйте,проблем так таковых нет но есть предположения на вирус:
здравствуйте,проблем так таковых нет но есть предположения на вирус:
Последний раз редактировалось thyrex; 27.02.2011 в 19:56.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('%windir%\system32\sfcfiles.dll',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\esp1CA6.tmp',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\esp1CA6.tmp'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('sfc'); BC_DeleteSvcReg('sfc'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Выполните скрипт в AVZ
Сделайте новые логиКод:begin var ListRegSearch : TStringList; i : Integer; FileName, RegKeyName : string; begin ClearLog; FileName:= 'c:\avz.log'; RegSearch('HKLM', '', 'esp1CA6.tmp'); SaveLog(FileName); ListRegSearch := TStringList.Create; ListRegSearch.LoadFromFile(FileName); for i := 0 to ListRegSearch.Count - 1 do begin RegKeyName := ListRegSearch.Strings[i]; if Pos('\esp', RegKeyName) > 0 then begin Delete(RegKeyName, 1, Pos('\\', RegKeyName) + 1); Delete(RegKeyName, Pos(' Name=', RegKeyName), Length(RegKeyName)); RegKeyDel('HKLM', RegKeyName); end; end; ListRegSearch.Free; end.
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
спасибо за быстрый ответ,1 скрип выполнил
а во 2 скрипте пишит ошубка expected в позиции 2:1
так и должно быть?
Добавлено через 6 минут
карантин отправил
Последний раз редактировалось favorit955; 27.02.2011 в 20:25. Причина: Добавлено
выполните этот
и ждём логи:Код:var ListRegSearch : TStringList; i : Integer; FileName, RegKeyName : string; begin ClearLog; FileName:= 'c:\avz.log'; RegSearch('HKLM', '', 'esp1CA6.tmp'); SaveLog(FileName); ListRegSearch := TStringList.Create; ListRegSearch.LoadFromFile(FileName); for i := 0 to ListRegSearch.Count - 1 do begin RegKeyName := ListRegSearch.Strings[i]; if Pos('\esp', RegKeyName) > 0 then begin Delete(RegKeyName, 1, Pos('\\', RegKeyName) + 1); Delete(RegKeyName, Pos(' Name=', RegKeyName), Length(RegKeyName)); RegKeyDel('HKLM', RegKeyName); end; end; ListRegSearch.Free; end.
повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
+ лог полного сканирования MBAM,
+лог c:\avz.log
+ пришлите карантин.
Последний раз редактировалось regist; 27.02.2011 в 21:56.
логи завтра выложу,прошу прощения а как мне добавить благодарность?я просто тут новый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
скоро выложу лог mbam,сканируется
Последний раз редактировалось Bratez; 28.02.2011 в 17:15. Причина: virusinfo_cure.zip это не лог!
карантин выслал ещо вчера вечером
готово,что дальше?
удалите в MBAM
Удалите файлы в карантине доктора Web-aКод:Заражённые ключи в реестре: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> No action taken. Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP158\A0134550.dll (Trojan.Patch) -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP158\A0135545.dll (Trojan.Patch) -> No action taken. c:\WINDOWS\$ntservicepackuninstall$\ctfmon.exe (Trojan.Agent) -> No action taken. c:\program files\mozilla firefox\setupapi.dll (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken. c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\
+новый лог полного сканирования MBAM
Файл c:\WINDOWS\system32\sfcfiles.dll замените чистым с дистрибутива
Последний раз редактировалось regist; 28.02.2011 в 18:21.
спс,зделаем
доврый день,все зделал как вы и просили,только не могу понять как заменить файл с дистрибюта??опиши поподробнее!!заранее спасибо
как я понял скачать с другого сайта и просто переместить в папку и нажать заменить?
кстате я поменял антивирус,поставил касперский интернет секюрить и теперь mbam находит 40 вирусов!!в 2 раза больше
это ложное срабатывание?
я ещё отключил востановление системы сегодня
c:\WINDOWS\system32\sfcfiles.dll замените файлом из вложения, предварительно распаковав из архива
Удалите в МВАМ только указанные ниже записиКод:Заражённые папки: c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. Заражённые файлы: c:\program files\avz4\quarantine\2011-02-27\avz00002.dta (Trojan.Patch) -> No action taken. c:\program files\avz4\quarantine\2011-02-27\bcqr00001.dat (Trojan.Patch) -> No action taken. c:\program files\avz4\quarantine\2011-02-27\bcqr00002.dat (Trojan.Patch) -> No action taken. c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0085335.dll (Trojan.Patch) -> No action taken. c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0085347.dll (Trojan.Patch) -> No action taken. c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0085356.dll (Trojan.Patch) -> No action taken. c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0086359.dll (Trojan.Patch) -> No action taken. c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0086407.dll (Trojan.Patch) -> No action taken. c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0086412.dll (Trojan.Patch) -> No action taken. c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0086423.dll (Trojan.Patch) -> No action taken. c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0089201.dll (Trojan.Patch) -> No action taken. c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0089212.dll (Trojan.Patch) -> No action taken. c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0089258.dll (Trojan.Patch) -> No action taken. c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0089264.dll (Trojan.Patch) -> No action taken. c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0090305.dll (Trojan.Patch) -> No action taken. c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0098515.dll (Trojan.Patch) -> No action taken. c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\a0098619.dll (Trojan.Patch) -> No action taken. c:\recycler\s-1-5-21-1292428093-1500820517-839522115-500\dc14\sfcfiles.dll.bak (Trojan.Patch) -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP162\A0136966.dll (Trojan.Patch) -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137047.dll (Trojan.Patch) -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137052.dll (Trojan.Patch) -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137053.dll (Trojan.Patch) -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137054.dll (Trojan.Patch) -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137055.dll (Trojan.Patch) -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137056.dll (Trojan.Patch) -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137057.dll (Trojan.Patch) -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137058.dll (Trojan.Patch) -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137059.dll (Trojan.Patch) -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137060.dll (Trojan.Patch) -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137061.dll (Trojan.Patch) -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137062.dll (Trojan.Patch) -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137063.dll (Trojan.Patch) -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137064.dll (Trojan.Patch) -> No action taken. c:\system volume information\_restore{57bc8ccf-c214-4834-b534-6f457077af08}\RP163\A0137065.dll (Trojan.Patch) -> No action taken. c:\WINDOWS\system32\sfcfiles.dll.bak (Trojan.Patch) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
спасибо,все зделал по вашим указаниям
вот логи
карантин отправил
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
готово
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then begin CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из кеша.'); end else begin AddToLog('Файл sfcfiles.dll в кеше не прошел по базе безопасных или отсутствует!'); if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then begin CopyFile('%windir%\ServicePackFiles\i386\sfcfiles.dll','%windir%\system32\sfcfiles.dll'); AddToLog('Замена sfcfiles.dll успешно произведена из i386.'); end else begin AddToLog('Файл sfcfiles.dll в i386 не прошел по базе безопасных или отсутствует!'); end; end; DeleteFile('%windir%\system32\drivers\sfc.sys'); DeleteFile('%windir%\system32\sfcfiles.bak'); BC_ImportALL; ExecuteSysClean; SaveLog('sfcfiles.log'); BC_Activate; RebootWindows(true); end.
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика)
+ прикрепите файл sfcfiles.log из папки с AVZ.
I am not young enough to know everything...
готово
теперь появилась новая проблема
компьютер зависает каждые 10 минут
не подскажите в чём может быть проблема?
Уважаемый(ая) favorit955, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.