Помогите вылечить комп

[BeltOrion]

Здравствуйте

каждый раз когда запускаю комп

6 касперский находит модифицированный sfc.sys и говорит не лечится надо удалить трояна

затем в процессе работы находятся другие троянские программы и файл sfc***.dll

касперский удаляет их

Проверяю мой комп полностью с помощью касперского не находит ни одного вируса

после перезагрузки ситуация повторяется

 

прикладывая файлы которые здесь просят

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Roman_Five]

6 касперский находит модифицированный sfc.sys и говорит не лечится надо удалить трояна

 

1. Укажите полную версию KAV'a или KIS'a, что у вас установлен.

 

Kaspersky Anti-Virus 6.0 for Windows Workstation?

 

По логам видно, что Вы используете 7-ю версию KIS, а в системе есть следы от Kaspersky Anti-Virus 5.0 for Windows Workstations.

 

2. если можно использовать не корпоративный продукт, лучше установите последнюю версию с сайта - 9-ю (9.0.0.473).

Изменено 6 февраля, 2010 пользователем Roman_Five

[vit9696]

1. Укажите полную версию KAV'a или KIS'a, что у вас установлен. это точно не 6-я.

По логам видно, что Вы используете 7-ю версию KIS, а в системе есть следы от Kaspersky Anti-Virus 5.0 for Windows Workstations.

 

2. а лучше установите последнюю версию с сайта - 9-ю (9.0.0.473).

9.0.0.736, он описался:

Вот ссылка

http://www.kaspersky.ru/kaspersky_internet...nlink=206911815 - KIS

http://www.kaspersky.ru/kaspersky_anti-vir...nlink=206911810 - KAV

[snifer67]

- Закройте/выгрузите все программы кроме Internet Explorer.

Отключите

- ПК от интернета/локальной сети.

 

- Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_ImportDeletedList;
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

- ПК перезагрузится.

 

- Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте на newvirus@kaspersky.com. В теле письма сообщите, что пароль на архив "virus"(без кавычек). Полученный ответ сообщите здесь.

- Сделайте новые логи.

[BeltOrion]

спасибо всем откликнувшимся

значит по порядку

1. у меня раньше стоял 5 KAV

сейчас стоит 6 KAV лицензия

2. получил карантин и отправил по указанному адресу

если придет какой то ответ сообщу здесь

3. а логи (три файла) делать как и делал с отключением восстановления системы?

 

подскажите после всего проделанного

появилась вот такая вещь

Ошибка приложения ufdsvc.exe, версия 1.0.0.9, модуль ufdsvc.exe, версия 1.0.0.9, адрес 0x00007854

[иван8715]

Строгое предупреждение от модератора Falcon

Не флудите в теме о лечении, это затрудняет процесс оказания помощи!

[snifer67]

а логи (три файла) делать как и делал с отключением восстановления системы?

Да.

[Roman_Five]

подскажите после всего проделанного

появилась вот такая вещь

Ошибка приложения ufdsvc.exe, версия 1.0.0.9, модуль ufdsvc.exe, версия 1.0.0.9, адрес 0x00007854

 

для начала проведите проверку цифровых подписей файлов винды:

 

run - cmd - sfc /scannow

 

если ошибка останется, то, либо отключить её запуск, либо "зачистить" все пути от неё в системе:

1) заходите в службы (панель управления - администрирование - службы), находите "UFD Command Service" и ставите запуск в "отключено"

2) уже обсуждалось p2p

[BeltOrion]

Еще раз спасибо

 

значит ответ на карантин - вредоносного кода не обнаружено

 

прикладываю логи

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[snifer67]

Чисто.Что с проблемой ?

[BeltOrion]

все больше KAV 6 не ругается на sfc.sys

проблема решена

 

по ошибке приложения ufdsvc.exe - пришлось отключить UFD Command Service

проверка ЦПФ не помогла