Посмотрите пожалуйста логи

[Gluki]

Всем привет.

 

Есть системник с системой WinXP pro, стоит KIS2011 (благополучно убит), в строке браузера тройные флеши + замена вводимого адреса на другое, сама система тоже тормозит

Какие действия посоветуете для удаления всех зловредов?

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Tiare]

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\tcpwamelib.exe');
SetServiceStart('WameSvc', 4);
StopService('WameSvc');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe','');
QuarantineFile('C:\Program Files\VPets\VPets.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\msvcrt.dll','');
QuarantineFile('C:\WINDOWS\system32\04D.tmp','');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
QuarantineFile('C:\Tcpz-x86.sys','');
QuarantineFile('TCPZ.sys','');
QuarantineFile('C:\WINDOWS/system32/cloudsrv.exe','');
QuarantineFile('c:\windows\791968_s.dll','');
QuarantineFile('c:\windows\2651001_s.dll','');
QuarantineFile('c:\windows\2626586_s.dll','');
QuarantineFile('c:\windows\2584396_s.dll','');
QuarantineFile('c:\windows\system32\tcpwamelib.exe','');
DeleteFile('c:\windows\2584396_s.dll');
DeleteFile('c:\windows\2626586_s.dll');
DeleteFile('c:\windows\2651001_s.dll');
DeleteFile('c:\windows\791968_s.dll');
DeleteFile('C:\Tcpz-x86.sys');
DeleteFile('C:\WINDOWS\System32\tcpwamelib.exe');
DeleteFile('C:\WINDOWS/system32/cloudsrv.exe');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\system32\04D.tmp');
DeleteFile('C:\Program Files\Internet Explorer\msvcrt.dll');
DeleteFile('C:\Program Files\VPets\VPets.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe');
DelCLSID('08B0E5C0-4FCB-11CF-AAX5-90401C608512');
DelCLSID('0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Ias\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Iprip\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Irmon\Parameters','ServiceDll');
DeleteService('okneqj');
DeleteService('ohxxt');
DeleteService('cloudsrv');
DeleteService('WameSvc');
DeleteService('Tcpz-x86');
DeleteFileMask('C:\Program Files\VPets', '*.*', true);
DeleteDirectory('C:\Program Files\VPets');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('WameSvc');
BC_DeleteSvc('cloudsrv');
BC_DeleteSvc('Tcpz-x86');
BC_Activate;
RebootWindows(true);
end.

 

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Далее выполните вот такой скрипт

 

После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS. Его необходимо прикрепить к следующему посту.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe

 

Если настройки прокси-сервера не прописывали самостоятельно, то эту строку пофиксите тоже

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxysrv:3128

 

 

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

Установите Internet Explorer 8 (даже если им не пользуетесь)

 

Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению

 

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

+

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
  
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала
  

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Изменено 3 сентября, 2011 пользователем Tiare

[Gluki]

Скрипты выполнил.

Действую дальше по пунктам )

Correct_wuauserv_BITS.log

[Tiare]

Скрипты выполнил.

Действую дальше по пунктам )

 

Хорошо)

 

TCP Half Open Limited Patcher ( TCP-Z) - устанавливали сами?

[Gluki]

Хорошо)

 

TCP Half Open Limited Patcher ( TCP-Z) - устанавливали сами?

 

 

Настройкой компа занимался не я , но думаю что его установили самостоятельно для торрентов

[Gluki]

Накатил SP3 и IE8, другие обновления накатить пока не удалось (инет на работе паршивый)

Новые логи. На подходе логи MBAM

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Tiare]

Уже намного лучше)

 

Остатки Dr. Web – удалить. Ссылка на удаление остатков антивирусных программ тут

 

 

Вот ваши зловреды (те, которые на данный момент есть в базах)

 

Troj/OnLineG-F (Trojan-PSW.Win32.OnLineGames) - если играют в онлайн-игры - сменить пароли.

 

Trojan-Downloader.Win32.Agent.szfe ссылка

 

Backdoor.Win32.Xyligan.dju ссылка

 

 

 

Карантин в вирлаб отправили?

 

 

Жду отчеты MBAM и RSIT

Изменено 5 сентября, 2011 пользователем Tiare

[Gluki]

Dr.Web удалил.

 

Карантин отправил, жду ответа.

 

Лог MBAM и RSIT

 

Ответ вирлаба

 

2584396_s.dll,

2626586_s.dll,

2651001_s.dll - Backdoor.Win32.Xyligan.dju

791968_s.dll - Backdoor.Win32.Xyligan.dma

WINDOWS/system32/cloudsrv.exe - Trojan-Downloader.Win32.Agent.szfe

 

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

 

tcpwamelib.exe

 

Файл в процессе обработки.

mbam_log_2011_09_05__15_18_15_.txt

log.txt

info.txt

Изменено 5 сентября, 2011 пользователем Gluki

[Tiare]

Пока сделайте это

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата.

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

 

c:\WINDOWS\system32\drivers\hl_mull.sys
C:\WINDOWS\system32\tcpwamblib.exe
C:\WINDOWS\system32\tcpwalxlib.exe
C:\WINDOWS\system32\tcpwalrlib.exe  
C:\WINDOWS\system32\dotnetfx.exe
C:\WINDOWS\002539_.tmp
C:\WINDOWS\Tmp.ini
c:\program files\adobe photoshop cs2 russian official\adobecs2rus_kg.exe

и несколько их этого списка, на выбор

C:\WINDOWS\system32\xml73299.exe
C:\WINDOWS\system32\xml83946.exe
C:\WINDOWS\system32\xml20032.exe
C:\WINDOWS\system32\xml82840.exe
C:\WINDOWS\system32\xml76231.exe
C:\WINDOWS\system32\xml32444.exe
C:\WINDOWS\system32\xml50724.exe
C:\WINDOWS\system32\xml60372.exe

 

 

Еще интересует содержимое этой папки

C:\WINDOWS\system32\X

 

 

 

 

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\002539_.tmp','');
QuarantineFile('C:\WINDOWS\UC.PIF','');
QuarantineFile('C:\WINDOWS\RAR.PIF','');
QuarantineFile('C:\WINDOWS\PKZIP.PIF','');
QuarantineFile('C:\WINDOWS\PKUNZIP.PIF','');
QuarantineFile('C:\WINDOWS\NOCLOSE.PIF','');
QuarantineFile('C:\WINDOWS\LHA.PIF','');
QuarantineFile('C:\WINDOWS\ARJ.PIF','');
QuarantineFile('C:\WINDOWS\Tmp.ini','');
QuarantineFile('c:\WINDOWS\system32\drivers\hl_mull.sys','');
QuarantineFile('C:\WINDOWS\system32\tcpwamblib.exe','');
QuarantineFile('C:\WINDOWS\system32\tcpwalxlib.exe','');
QuarantineFile('C:\WINDOWS\system32\tcpwalrlib.exe','');
QuarantineFile('C:\WINDOWS\system32\xml73299.exe','');
QuarantineFile('C:\WINDOWS\system32\xml83946.exe','');
QuarantineFile('C:\WINDOWS\system32\xml31297.exe','');
QuarantineFile('C:\WINDOWS\system32\xml20032.exe','');
QuarantineFile('C:\WINDOWS\system32\xml82840.exe','');
QuarantineFile('C:\WINDOWS\system32\xml76231.exe','');
QuarantineFile('C:\WINDOWS\system32\xml32444.exe','');
QuarantineFile('C:\WINDOWS\system32\xml50724.exe','');
QuarantineFile('C:\WINDOWS\system32\xml60372.exe','');
QuarantineFile('C:\WINDOWS\system32\xml91104.exe','');
QuarantineFile('C:\WINDOWS\system32\xml85346.exe','');
QuarantineFile('C:\WINDOWS\system32\xml97941.exe','');
QuarantineFile('C:\WINDOWS\system32\xml53636.exe','');
QuarantineFile('C:\WINDOWS\system32\xml50306.exe','');
QuarantineFile('C:\WINDOWS\system32\xml73889.exe','');
QuarantineFile('C:\WINDOWS\system32\xml50301.exe','');
QuarantineFile('C:\WINDOWS\system32\xml37686.exe','');
QuarantineFile('C:\WINDOWS\system32\xml69027.exe','');
QuarantineFile('C:\WINDOWS\system32\xml35174.exe','');
QuarantineFile('C:\WINDOWS\system32\xml30367.exe','');
QuarantineFile('C:\WINDOWS\system32\xml26528.exe','');
QuarantineFile('C:\WINDOWS\system32\xml25140.exe','');
QuarantineFile('C:\WINDOWS\system32\xml74222.exe','');
QuarantineFile('C:\WINDOWS\system32\xml88183.exe','');
QuarantineFile('C:\WINDOWS\system32\xml84433.exe','');
QuarantineFile('C:\WINDOWS\system32\xml33017.exe','');
QuarantineFile('C:\WINDOWS\system32\xml87508.exe','');
QuarantineFile('C:\WINDOWS\system32\dotnetfx.exe','');
DeleteFile('C:\WINDOWS\system32\tcpwamblib.exe');
DeleteFile('C:\WINDOWS\system32\tcpwalxlib.exe');
DeleteFile('C:\WINDOWS\system32\tcpwalrlib.exe');
DeleteFile('C:\WINDOWS\system32\xml73299.exe');
DeleteFile('C:\WINDOWS\system32\xml83946.exe');
DeleteFile('C:\WINDOWS\system32\xml31297.exe');
DeleteFile('C:\WINDOWS\system32\xml20032.exe');
DeleteFile('C:\WINDOWS\system32\xml82840.exe');
DeleteFile('C:\WINDOWS\system32\xml76231.exe');
DeleteFile('C:\WINDOWS\system32\xml32444.exe');
DeleteFile('C:\WINDOWS\system32\xml50724.exe');
DeleteFile('C:\WINDOWS\system32\xml60372.exe');
DeleteFile('C:\WINDOWS\system32\xml91104.exe');
DeleteFile('C:\WINDOWS\system32\xml85346.exe');
DeleteFile('C:\WINDOWS\system32\xml97941.exe');
DeleteFile('C:\WINDOWS\system32\xml53636.exe');
DeleteFile('C:\WINDOWS\system32\xml50306.exe');
DeleteFile('C:\WINDOWS\system32\xml73889.exe');
DeleteFile('C:\WINDOWS\system32\xml50301.exe');
DeleteFile('C:\WINDOWS\system32\xml37686.exe');
DeleteFile('C:\WINDOWS\system32\xml69027.exe');
DeleteFile('C:\WINDOWS\system32\xml35174.exe');
DeleteFile('C:\WINDOWS\system32\xml30367.exe');
DeleteFile('C:\WINDOWS\system32\xml26528.exe');
DeleteFile('C:\WINDOWS\system32\xml25140.exe');
DeleteFile('C:\WINDOWS\system32\xml74222.exe');
DeleteFile('C:\WINDOWS\system32\xml88183.exe');
DeleteFile('C:\WINDOWS\system32\xml84433.exe');
DeleteFile('C:\WINDOWS\system32\xml33017.exe');
DeleteFile('C:\WINDOWS\system32\xml87508.exe');
DeleteFile('C:\WINDOWS\system32\dotnetfx.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

 

Все, кроме нижеуказанных строк, удалите в MBAM. После удаления откройте лог и прикрепите его к вашему сообщению.

 

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Зараженные файлы:
c:\WINDOWS\system32\drivers\hl_mull.sys (Rootkit.Agent) -> No action taken.
c:\program files\adobe photoshop cs2 russian official\adobecs2rus_kg.exe (Trojan.Agent.CK) -> No action taken.
c:\program files\редактор формул\keygen.exe (RiskWare.Tool.CK) -> No action taken.

 

Кряки – на ваше усмотрение, могут быть не безвредны.

 

Лог RSIT сделайте еще раз

Изменено 5 сентября, 2011 пользователем Tiare

[Gluki]

Как и просили:

c:\WINDOWS\system32\drivers\hl_mull.sys

http://www.virustotal.com/file-scan/report...0d6d-1315227596

 

C:\WINDOWS\system32\tcpwamblib.exe

http://www.virustotal.com/file-scan/report...3347-1315228394

 

C:\WINDOWS\system32\tcpwalxlib.exe

http://www.virustotal.com/file-scan/report...4894-1315228800

 

C:\WINDOWS\system32\tcpwalrlib.exe

http://www.virustotal.com/file-scan/report...2547-1315228083

 

C:\WINDOWS\system32\dotnetfx.exe

больше 20метров (

 

C:\WINDOWS\002539_.tmp

http://www.virustotal.com/file-scan/report...42f0-1315229347

 

C:\WINDOWS\Tmp.ini

0 размер файла

 

c:\program files\adobe photoshop cs2 russian official\adobecs2rus_kg.exe

http://www.virustotal.com/file-scan/report...6024-1315229511

 

 

 

 

 

C:\WINDOWS\system32\xml73299.exe

http://www.virustotal.com/file-scan/report...146a-1315229181

 

C:\WINDOWS\system32\xml83946.exe

http://www.virustotal.com/file-scan/report...26e4-1315229388

 

в папке C:\WINDOWS\system32\X находиться батник D.bat, содержимое батника: for %%i in (*.exe) do start %%i

[Tiare]

C:\WINDOWS\002539_.tmp

C:\WINDOWS\Tmp.ini

C:\WINDOWS\system32\X

 

Удалите.

[Gluki]

Удалите.

 

Удалил )

 

Карантин отправил, жду ответа.

 

MBAM и RSIT логи смогу сделать уже только завтра (

 

Ответ от Касперского:

ARJ.PIF,

bcqr00001.dat,

bcqr00002.dat,

bcqr00003.dat,

bcqr00004.dat,

bcqr00005.dat,

bcqr00006.dat,

bcqr00007.dat,

bcqr00008.dat,

bcqr00009.dat,

bcqr00010.dat,

bcqr00011.dat,

bcqr00012.dat,

bcqr00013.dat,

bcqr00014.dat,

bcqr00015.dat,

bcqr00016.dat,

LHA.PIF,

NOCLOSE.PIF,

PKUNZIP.PIF,

PKZIP.PIF,

RAR.PIF,

UC.PIF

 

Вредоносный код в файлах не обнаружен.

 

bcqr00017.dat,

bcqr00018.dat

 

Файлы нулевой длины.

 

tcpwalrlib.exe - Worm.MSIL.Agent.gl

tcpwalxlib.exe - Worm.MSIL.Agent.gv

tcpwamblib.exe - Worm.MSIL.Agent.hc

xml20032.exe,

xml32444.exe,

xml50724.exe,

xml60372.exe,

xml76231.exe,

xml82840.exe,

xml85346.exe,

xml91104.exe,

xml97941.exe - Trojan-Dropper.Win32.Agent.fpnx

xml30367.exe - Trojan-Dropper.Win32.Agent.fnlh

xml31297.exe,

xml73299.exe - Trojan-Dropper.Win32.Agent.fqsd

xml33017.exe,

xml87508.exe - Trojan-Dropper.Win32.Agent.fmur

xml37686.exe,

xml50301.exe,

xml50306.exe,

xml53636.exe,

xml69027.exe - Trojan-Dropper.Win32.Agent.fohp

 

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

 

xml25140.exe,

xml26528.exe,

xml35174.exe,

xml73889.exe,

xml74222.exe,

xml83946.exe,

xml84433.exe,

xml88183.exe

 

Файлы в процессе обработки.

 

Логи MBAM и RSIT

mbam_log_2011_09_05__18_59_48_.txt

log.txt

Изменено 5 сентября, 2011 пользователем Gluki

[Tiare]

Найдите диск с дистрибутивом Windows XP SP3 (та, что установлена на PC). Перед выполнением скрипта вставьте диск в дисковод.

 

Procedure SysFileRecoverFromDistrib (Path, Name : string);
begin
if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then
 begin   
ExecuteFile('sfc /scannow', '', 1, 0, true);
AddToLog('Пользователь выполнил "sfc /scannow"');
 end
else
AddToLog('Пользователь выбрал самостоятельный способ замены.');
end;

Procedure CompleteFix(Path, Name : string);
begin
  RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak');
  CopyFile(Path + Name, '%windir%\system32\' + Name);
  DeleteFile('%windir%\system32\' + Name + '.bak');
end;

Procedure SysFileRecoverFromBackup(Path, Name : string);
begin
 AddToLog('Файл ' + '%windir%\system32\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\system32\' + Name));
 if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then
  begin
 AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - MD5 у файлов различные. Запрошен дистрибутив.');
 AddToLog('Файл ' + '%windir%\system32\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\system32\dllcache\' + Name));
 AddToLog('Файл ' + '%windir%\ServicePackFiles\i386\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name));
 SysFileRecoverFromDistrib(Path, Name);
  end
 else if FileExists('%windir%\system32\dllcache\' + Name) then
  begin
AddToLog('Файл ' + '%windir%\system32\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\system32\dllcache\' + Name));
if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
  begin
	CompleteFix('%windir%\system32\dllcache\', Name); 
	AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\');
  end
else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then
 begin
   AddToLog('Файл ' + '%windir%\ServicePackFiles\i386\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name));
   if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
	begin
	  CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name);
	  AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\');
	end
 end
  end;
if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then 
 begin
AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.');
SysFileRecoverFromDistrib(Path, Name);
 end;
SaveLog('SafeZone.log');
end;

var SourcePath : String;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearLog;
QuarantineFile('%windir%\system32\drivers\sfc.sys','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll'); // Указываем имя файла.
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.

 

После выполнения данного скрипта прикрепите файл SafeZone.log к вашему сообщению.

 

 

+ Сделайте лог Gmer. Инструкция тут

[Gluki]

Скрипт выполнил.

логи прилагаю

GMER.log

SafeZone.log

[Gluki]

Ну и стандартные логи

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip