Вирус в системном файле

Alabaika · 15.12.2010, 20:41

Здравствуйте!
NOD32 обнаружил вирус в папке system32 - sfcfiles.dll (вроде б так).
AVZ программу запустить пока не получается...
HiJackThis - http://exfile.ru/143346

Помогите, пожалуйста!!

Iljeben · 15.12.2010, 21:34

Alabaika, пофиксите в HiJackThis :

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,C:\WIND OWS\system32\otmmdpf.exe,
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [wuaucldt] c:\windows\system32\wuaucldt.exe
O4 - HKCU\..\Run: [wuaucldt] c:\documents and settings\oem\wuaucldt.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\mmsfpvfp.dll

Ждем лог AVZ.

Alabaika · 16.12.2010, 00:26

Iljeben, спасибо!
AVZ запустила. Он понаходил там что-то. Потом почему-то стал загружаться Оутлук, вылетела куча ошибок, а потом комп сам перезагрузился. Файла virusinfo_syscure нет(( Придется заново все делать...

---------- Добавлено в 23:26 ---------- Предыдущее сообщение было написано в 23:20 ----------

И еще - не знаю, важно это или нет, но когда комп загружается, появляется сообщение об ошибке в виндоуз и все пропадает, остается только фоновое изображение. Вот только после этого возможно запустить AVZ через Диспетчер файлов...

goredey · 16.12.2010, 00:30

Alabaika, AVZ проверку до конца проводит или нет?

Alabaika · 16.12.2010, 15:00

goredey
все зависает после того, как открывается оутлук. Проверку до конца видимо не проводит, последнее что написано было.. что-то вроде "проверка системы".. как-то так.. я вчера не стала ком выключать, так до утра и висел на одном и том же месте, даже Диспетчер файлов не открывался, пришлось выключить принудительно.
Опять пытаться запустить программу?

Iljeben · 16.12.2010, 15:07

Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip. Скрипт 2 быстрее делается.

Alabaika · 16.12.2010, 15:46

Вот что происходит...
http://i015.radikal.ru/1012/f3/f8d3adf88b47.jpg
http://i019.radikal.ru/1012/da/c2b928020538.jpg
http://s009.radikal.ru/i307/1012/fc/a25375478e92.jpg

---------- Добавлено в 14:46 ---------- Предыдущее сообщение было написано в 14:34 ----------

УРА!! Хоть что-то получилось)) http://exfile.ru/143539

snifer67 · 16.12.2010, 17:06

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\Documents and Settings\OEM\wuaucldt.exe','');
 QuarantineFile('C:\WINDOWS\system32\wuaucldt.exe','');
 QuarantineFile('C:\WINDOWS\system32\otmmdpf.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 QuarantineFile('C:\WINDOWS\system32\drivers\wcscd.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\wcscd.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('C:\WINDOWS\system32\otmmdpf.exe');
 DeleteFile('C:\WINDOWS\system32\wuaucldt.exe');
 DeleteFile('C:\Documents and Settings\OEM\wuaucldt.exe');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

ПК перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin
 CreateQurantineArchive(RegKeyStrParamRead('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Desktop')+'\avz_quarantine.zip');
end.

Карантин сохранится на рабочем столе.
Карантин отправьте на newvirus@kaspersky.com

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

Alabaika · 16.12.2010, 21:06

Не знаю.. то я или нет даю, но файла combofix.txt нет.. есть только log.txt
http://exfile.ru/143610

Alabaika · 17.12.2010, 01:13

Это опять я. Не знаю, надо ли создавать новую тему или это все взаимосвязано, но когда запустила сканирование, тот файл, о котором шла речь не найдет,зато найдены другие, с которыми антивирус ничего не делает...

snifer67 · 17.12.2010, 16:53

Папке cache, где находит нод вирус, можете очистить.

c:\windows\System32\sfcfiles.dll восстановите http://virusinfo.info/showthread.php?t=51654

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение

Код:

KillAll:: 

File::
c:\windows\system32\яя¦
Driver::

Folder::

Registry::

FileLook::
C:\os357577.bin
DirLook::

RegLock::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Alabaika · 17.12.2010, 17:53

Цитата:

Сообщение от snifer67

c:\windows\System32\sfcfiles.dll восстановите http://virusinfo.info/showthread.php?t=51654

Подскажите, пож, у меня есть копия системного файла в папке ServicePackFiles\i386.
Мне как тогда быть? просто скопировать файл туда, где он был?

snifer67 · 17.12.2010, 18:45

Да, скопировать.

~Данил~ · 17.12.2010, 20:14

Dizel1976, не суйтесь во все темы.....пожалуйста, для обсуждения антивирусов есть отдельная тема

Alabaika · 17.12.2010, 22:45

snifer67, вставила.Сейчас сканировала еще раз НОДом - вирусов не обнаружилось.
Мне надо делать далее по тексту "Скопируйте текст ниже в блокнот ...."?

15.12.2010, 20:41	#1 (ссылка)
Alabaika Новичок Регистрация: 15.12.2010 Сообщений: 9 Репутация: 0	Вирус в системном файле Здравствуйте! NOD32 обнаружил вирус в папке system32 - sfcfiles.dll (вроде б так). AVZ программу запустить пока не получается... HiJackThis - http://exfile.ru/143346 Помогите, пожалуйста!!

16.12.2010, 17:06	#8 (ссылка)
snifer67 Стажёр Регистрация: 11.04.2010 Сообщений: 977 Репутация: 96	Выполните скрипт в avz Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('C:\Documents and Settings\OEM\wuaucldt.exe',''); QuarantineFile('C:\WINDOWS\system32\wuaucldt.exe',''); QuarantineFile('C:\WINDOWS\system32\otmmdpf.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); QuarantineFile('C:\WINDOWS\system32\drivers\wcscd.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\wcscd.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); DeleteFile('C:\WINDOWS\system32\otmmdpf.exe'); DeleteFile('C:\WINDOWS\system32\wuaucldt.exe'); DeleteFile('C:\Documents and Settings\OEM\wuaucldt.exe'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); QuarantineFile('%windir%\system32\sfcfiles.dll',''); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll'); DeleteFile('%windir%\system32\sfcfiles.bak'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. Код: begin CreateQurantineArchive(RegKeyStrParamRead('HKCU','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Desktop')+'\avz_quarantine.zip'); end. Карантин сохранится на рабочем столе. Карантин отправьте на newvirus@kaspersky.com Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

17.12.2010, 16:53	#11 (ссылка)
snifer67 Стажёр Регистрация: 11.04.2010 Сообщений: 977 Репутация: 96	Папке cache, где находит нод вирус, можете очистить. c:\windows\System32\sfcfiles.dll восстановите http://virusinfo.info/showthread.php?t=51654 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение Код: KillAll:: File:: c:\windows\system32\яя¦ Driver:: Folder:: Registry:: FileLook:: C:\os357577.bin DirLook:: RegLock:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Звук в системном блоке!	zagruzkaaa	Железо	6	26.12.2010 19:04
Посторонний звук в системном блоке	Halp me!!!	Неисправности, настройка	13	20.12.2010 01:02
При работающем системном блоке выключается монитор	Анна 1977	Неисправности, настройка	6	08.11.2010 09:48
сидит вирус в файле	SERGEY66	Безопасность	7	02.10.2010 10:55
Как правильно располагать вентиляторы в системном блоке?	Sector300	Железо	13	03.08.2010 07:13
Возм. вирус (в файле hosts vk.com odnoklasniki)	tugo	Безопасность	4	17.07.2010 14:46
Найден вирус в system32, а также в файле подкачки	Allena	Безопасность	4	05.05.2010 20:38
Вирус в файле userlib.dll	v_taras	Безопасность	97	07.02.2010 14:53
Щелчки в системном блоке	setey	Windows XP	12	26.08.2009 20:28
Вирус Win32:Parite-A найден в файле: C:\Documents and Settings\0\.....	CHICKEN	Безопасность	4	09.11.2008 23:58
информация о файле	dimassskkk	Windows XP	0	20.07.2008 00:32

16.12.2010, 00:26	#3 (ссылка)
Alabaika Новичок Регистрация: 15.12.2010 Сообщений: 9 Репутация: 0	Iljeben, спасибо! AVZ запустила. Он понаходил там что-то. Потом почему-то стал загружаться Оутлук, вылетела куча ошибок, а потом комп сам перезагрузился. Файла virusinfo_syscure нет(( Придется заново все делать... ---------- Добавлено в 23:26 ---------- Предыдущее сообщение было написано в 23:20 ---------- И еще - не знаю, важно это или нет, но когда комп загружается, появляется сообщение об ошибке в виндоуз и все пропадает, остается только фоновое изображение. Вот только после этого возможно запустить AVZ через Диспетчер файлов...

16.12.2010, 00:30	#4 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Alabaika, AVZ проверку до конца проводит или нет?

16.12.2010, 15:00	#5 (ссылка)
Alabaika Новичок Регистрация: 15.12.2010 Сообщений: 9 Репутация: 0	goredey все зависает после того, как открывается оутлук. Проверку до конца видимо не проводит, последнее что написано было.. что-то вроде "проверка системы".. как-то так.. я вчера не стала ком выключать, так до утра и висел на одном и том же месте, даже Диспетчер файлов не открывался, пришлось выключить принудительно. Опять пытаться запустить программу?

16.12.2010, 15:07	#6 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip. Скрипт 2 быстрее делается.

16.12.2010, 15:46	#7 (ссылка)
Alabaika Новичок Регистрация: 15.12.2010 Сообщений: 9 Репутация: 0	Вот что происходит... http://i015.radikal.ru/1012/f3/f8d3adf88b47.jpg http://i019.radikal.ru/1012/da/c2b928020538.jpg http://s009.radikal.ru/i307/1012/fc/a25375478e92.jpg ---------- Добавлено в 14:46 ---------- Предыдущее сообщение было написано в 14:34 ---------- УРА!! Хоть что-то получилось)) http://exfile.ru/143539

16.12.2010, 21:06	#9 (ссылка)
Alabaika Новичок Регистрация: 15.12.2010 Сообщений: 9 Репутация: 0	Не знаю.. то я или нет даю, но файла combofix.txt нет.. есть только log.txt http://exfile.ru/143610

17.12.2010, 01:13	#10 (ссылка)
Alabaika Новичок Регистрация: 15.12.2010 Сообщений: 9 Репутация: 0	Это опять я. Не знаю, надо ли создавать новую тему или это все взаимосвязано, но когда запустила сканирование, тот файл, о котором шла речь не найдет,зато найдены другие, с которыми антивирус ничего не делает...

17.12.2010, 18:45	#13 (ссылка)
snifer67 Стажёр Регистрация: 11.04.2010 Сообщений: 977 Репутация: 96	Да, скопировать.

17.12.2010, 20:14	#14 (ссылка)
~Данил~ Эксперт Регистрация: 28.08.2010 Сообщений: 11,078 Записей в блоге: 5 Репутация: 925	Dizel1976, не суйтесь во все темы.....пожалуйста, для обсуждения антивирусов есть отдельная тема

17.12.2010, 22:45	#15 (ссылка)
Alabaika Новичок Регистрация: 15.12.2010 Сообщений: 9 Репутация: 0	snifer67, вставила.Сейчас сканировала еще раз НОДом - вирусов не обнаружилось. Мне надо делать далее по тексту "Скопируйте текст ниже в блокнот ...."?

Ads

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)