unname123 0 Опубликовано 12 августа, 2010 Share Опубликовано 12 августа, 2010 (изменено) Через 20 секунд после запуска системы выдает синий экран. Запустил принудительной отменой процессов в диспетчере задач. Приложил логи. Ссылка GSI: http://www.getsysteminfo.com/read.php?file...8bed236c23b1dd3 virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log GetSystemInfo_MICROSOF_D16A8B_Admin_2010_08_12_11_04_10.zip Изменено 12 августа, 2010 пользователем unname123 Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 12 августа, 2010 Share Опубликовано 12 августа, 2010 (изменено) Пофиксить в HijackThis O20 - AppInit_DLLs: C:\WINDOWS\system32\rfuslfd.dll Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\rfuslfd.dll',''); QuarantineFile('C:\WINDOWS\system32\djfdgs.exe',''); QuarantineFile('C:\WINDOWS\system32\73d5c22e.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); QuarantineFile('c:\documents and settings\admin\application data\microsoft\svchost.exe',''); TerminateProcessByName('c:\documents and settings\admin\application data\microsoft\svchost.exe'); DeleteFile('c:\documents and settings\admin\application data\microsoft\svchost.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); DeleteFile('C:\WINDOWS\system32\73d5c22e.exe'); DeleteFile('C:\WINDOWS\system32\djfdgs.exe'); DeleteFile('C:\WINDOWS\system32\rfuslfd.dll'); QuarantineFile('%windir%\system32\sfcfiles.dll',''); RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll'); DeleteFile('%windir%\system32\sfcfiles.bak'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. Карантин отправьте через на newvirus@tut.by Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Изменено 12 августа, 2010 пользователем snifer67 Цитата Ссылка на сообщение Поделиться на другие сайты
unname123 0 Опубликовано 12 августа, 2010 Автор Share Опубликовано 12 августа, 2010 Лог ComboFix. ComboFix.rar Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 12 августа, 2010 Share Опубликовано 12 августа, 2010 Скачайте sfcfiles.rar и распакуйте в c:\windows\system32 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение File:: c:\windows\system32\bd17207b.exe c:\windows\system32\httmtx.exe c:\windows\system32\dab8fde4.exe c:\windows\system32\ieqeqs.exe После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
unname123 0 Опубликовано 12 августа, 2010 Автор Share Опубликовано 12 августа, 2010 Новый лог. ComboFix.rar Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 12 августа, 2010 Share Опубликовано 12 августа, 2010 Файл вставляли в деррикторию? Цитата Ссылка на сообщение Поделиться на другие сайты
unname123 0 Опубликовано 15 августа, 2010 Автор Share Опубликовано 15 августа, 2010 (изменено) Файл вставил, но после прогона ComboFix. Проблема решена. Спасибо за помощь. Изменено 15 августа, 2010 пользователем unname123 Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 16 августа, 2010 Share Опубликовано 16 августа, 2010 Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up Установите IE8 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.