Перейти к содержанию
Правила раздела

Посмотрите пожалуйста логи

Gluki

От Gluki
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Gluki Постоялец

Gluki

Опубликовано
Опубликовано

Всем привет.

 

Есть системник с системой WinXP pro, стоит KIS2011 (благополучно убит), в строке браузера тройные флеши + замена вводимого адреса на другое, сама система тоже тормозит ;)

Какие действия посоветуете для удаления всех зловредов?

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано (изменено)

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\tcpwamelib.exe');
SetServiceStart('WameSvc', 4);
StopService('WameSvc');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe','');
QuarantineFile('C:\Program Files\VPets\VPets.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\msvcrt.dll','');
QuarantineFile('C:\WINDOWS\system32\04D.tmp','');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
QuarantineFile('C:\Tcpz-x86.sys','');
QuarantineFile('TCPZ.sys','');
QuarantineFile('C:\WINDOWS/system32/cloudsrv.exe','');
QuarantineFile('c:\windows\791968_s.dll','');
QuarantineFile('c:\windows\2651001_s.dll','');
QuarantineFile('c:\windows\2626586_s.dll','');
QuarantineFile('c:\windows\2584396_s.dll','');
QuarantineFile('c:\windows\system32\tcpwamelib.exe','');
DeleteFile('c:\windows\2584396_s.dll');
DeleteFile('c:\windows\2626586_s.dll');
DeleteFile('c:\windows\2651001_s.dll');
DeleteFile('c:\windows\791968_s.dll');
DeleteFile('C:\Tcpz-x86.sys');
DeleteFile('C:\WINDOWS\System32\tcpwamelib.exe');
DeleteFile('C:\WINDOWS/system32/cloudsrv.exe');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\system32\04D.tmp');
DeleteFile('C:\Program Files\Internet Explorer\msvcrt.dll');
DeleteFile('C:\Program Files\VPets\VPets.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe');
DelCLSID('08B0E5C0-4FCB-11CF-AAX5-90401C608512');
DelCLSID('0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Ias\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Iprip\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Irmon\Parameters','ServiceDll');
DeleteService('okneqj');
DeleteService('ohxxt');
DeleteService('cloudsrv');
DeleteService('WameSvc');
DeleteService('Tcpz-x86');
DeleteFileMask('C:\Program Files\VPets', '*.*', true);
DeleteDirectory('C:\Program Files\VPets');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('WameSvc');
BC_DeleteSvc('cloudsrv');
BC_DeleteSvc('Tcpz-x86');
BC_Activate;
RebootWindows(true);
end.

 

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Далее выполните вот такой скрипт

 

После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS. Его необходимо прикрепить к следующему посту.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe

 

Если настройки прокси-сервера не прописывали самостоятельно, то эту строку пофиксите тоже

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxysrv:3128

 

 

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

Установите Internet Explorer 8 (даже если им не пользуетесь)

 

Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению

 

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

+

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты
Gluki Постоялец

Gluki

Опубликовано
  • Автор
Опубликовано
Хорошо)

 

TCP Half Open Limited Patcher ( TCP-Z) - устанавливали сами?

 

 

Настройкой компа занимался не я ;), но думаю что его установили самостоятельно для торрентов

Ссылка на комментарий
Поделиться на другие сайты
Gluki Постоялец

Gluki

Опубликовано
  • Автор
Опубликовано

Накатил SP3 и IE8, другие обновления накатить пока не удалось ;) (инет на работе паршивый)

Новые логи. На подходе логи MBAM

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано (изменено)

Уже намного лучше)

 

Остатки Dr. Web – удалить. Ссылка на удаление остатков антивирусных программ тут

 

 

Вот ваши зловреды (те, которые на данный момент есть в базах)

 

Troj/OnLineG-F (Trojan-PSW.Win32.OnLineGames) - если играют в онлайн-игры - сменить пароли.

 

Trojan-Downloader.Win32.Agent.szfe ссылка

 

Backdoor.Win32.Xyligan.dju ссылка

 

 

 

Карантин в вирлаб отправили?

 

 

Жду отчеты MBAM и RSIT

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты
Gluki Постоялец

Gluki

Опубликовано
  • Автор
Опубликовано (изменено)

Dr.Web удалил.

 

Карантин отправил, жду ответа.

 

Лог MBAM и RSIT

 

Ответ вирлаба

 

2584396_s.dll,

2626586_s.dll,

2651001_s.dll - Backdoor.Win32.Xyligan.dju

791968_s.dll - Backdoor.Win32.Xyligan.dma

WINDOWS/system32/cloudsrv.exe - Trojan-Downloader.Win32.Agent.szfe

 

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

 

tcpwamelib.exe

 

Файл в процессе обработки.

mbam_log_2011_09_05__15_18_15_.txt

log.txt

info.txt

Изменено пользователем Gluki
Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано (изменено)

Пока сделайте это

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата.

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

 

c:\WINDOWS\system32\drivers\hl_mull.sys
C:\WINDOWS\system32\tcpwamblib.exe
C:\WINDOWS\system32\tcpwalxlib.exe
C:\WINDOWS\system32\tcpwalrlib.exe  
C:\WINDOWS\system32\dotnetfx.exe
C:\WINDOWS\002539_.tmp
C:\WINDOWS\Tmp.ini
c:\program files\adobe photoshop cs2 russian official\adobecs2rus_kg.exe

и несколько их этого списка, на выбор

C:\WINDOWS\system32\xml73299.exe
C:\WINDOWS\system32\xml83946.exe
C:\WINDOWS\system32\xml20032.exe
C:\WINDOWS\system32\xml82840.exe
C:\WINDOWS\system32\xml76231.exe
C:\WINDOWS\system32\xml32444.exe
C:\WINDOWS\system32\xml50724.exe
C:\WINDOWS\system32\xml60372.exe

 

 

Еще интересует содержимое этой папки

C:\WINDOWS\system32\X

 

 

 

 

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\002539_.tmp','');
QuarantineFile('C:\WINDOWS\UC.PIF','');
QuarantineFile('C:\WINDOWS\RAR.PIF','');
QuarantineFile('C:\WINDOWS\PKZIP.PIF','');
QuarantineFile('C:\WINDOWS\PKUNZIP.PIF','');
QuarantineFile('C:\WINDOWS\NOCLOSE.PIF','');
QuarantineFile('C:\WINDOWS\LHA.PIF','');
QuarantineFile('C:\WINDOWS\ARJ.PIF','');
QuarantineFile('C:\WINDOWS\Tmp.ini','');
QuarantineFile('c:\WINDOWS\system32\drivers\hl_mull.sys','');
QuarantineFile('C:\WINDOWS\system32\tcpwamblib.exe','');
QuarantineFile('C:\WINDOWS\system32\tcpwalxlib.exe','');
QuarantineFile('C:\WINDOWS\system32\tcpwalrlib.exe','');
QuarantineFile('C:\WINDOWS\system32\xml73299.exe','');
QuarantineFile('C:\WINDOWS\system32\xml83946.exe','');
QuarantineFile('C:\WINDOWS\system32\xml31297.exe','');
QuarantineFile('C:\WINDOWS\system32\xml20032.exe','');
QuarantineFile('C:\WINDOWS\system32\xml82840.exe','');
QuarantineFile('C:\WINDOWS\system32\xml76231.exe','');
QuarantineFile('C:\WINDOWS\system32\xml32444.exe','');
QuarantineFile('C:\WINDOWS\system32\xml50724.exe','');
QuarantineFile('C:\WINDOWS\system32\xml60372.exe','');
QuarantineFile('C:\WINDOWS\system32\xml91104.exe','');
QuarantineFile('C:\WINDOWS\system32\xml85346.exe','');
QuarantineFile('C:\WINDOWS\system32\xml97941.exe','');
QuarantineFile('C:\WINDOWS\system32\xml53636.exe','');
QuarantineFile('C:\WINDOWS\system32\xml50306.exe','');
QuarantineFile('C:\WINDOWS\system32\xml73889.exe','');
QuarantineFile('C:\WINDOWS\system32\xml50301.exe','');
QuarantineFile('C:\WINDOWS\system32\xml37686.exe','');
QuarantineFile('C:\WINDOWS\system32\xml69027.exe','');
QuarantineFile('C:\WINDOWS\system32\xml35174.exe','');
QuarantineFile('C:\WINDOWS\system32\xml30367.exe','');
QuarantineFile('C:\WINDOWS\system32\xml26528.exe','');
QuarantineFile('C:\WINDOWS\system32\xml25140.exe','');
QuarantineFile('C:\WINDOWS\system32\xml74222.exe','');
QuarantineFile('C:\WINDOWS\system32\xml88183.exe','');
QuarantineFile('C:\WINDOWS\system32\xml84433.exe','');
QuarantineFile('C:\WINDOWS\system32\xml33017.exe','');
QuarantineFile('C:\WINDOWS\system32\xml87508.exe','');
QuarantineFile('C:\WINDOWS\system32\dotnetfx.exe','');
DeleteFile('C:\WINDOWS\system32\tcpwamblib.exe');
DeleteFile('C:\WINDOWS\system32\tcpwalxlib.exe');
DeleteFile('C:\WINDOWS\system32\tcpwalrlib.exe');
DeleteFile('C:\WINDOWS\system32\xml73299.exe');
DeleteFile('C:\WINDOWS\system32\xml83946.exe');
DeleteFile('C:\WINDOWS\system32\xml31297.exe');
DeleteFile('C:\WINDOWS\system32\xml20032.exe');
DeleteFile('C:\WINDOWS\system32\xml82840.exe');
DeleteFile('C:\WINDOWS\system32\xml76231.exe');
DeleteFile('C:\WINDOWS\system32\xml32444.exe');
DeleteFile('C:\WINDOWS\system32\xml50724.exe');
DeleteFile('C:\WINDOWS\system32\xml60372.exe');
DeleteFile('C:\WINDOWS\system32\xml91104.exe');
DeleteFile('C:\WINDOWS\system32\xml85346.exe');
DeleteFile('C:\WINDOWS\system32\xml97941.exe');
DeleteFile('C:\WINDOWS\system32\xml53636.exe');
DeleteFile('C:\WINDOWS\system32\xml50306.exe');
DeleteFile('C:\WINDOWS\system32\xml73889.exe');
DeleteFile('C:\WINDOWS\system32\xml50301.exe');
DeleteFile('C:\WINDOWS\system32\xml37686.exe');
DeleteFile('C:\WINDOWS\system32\xml69027.exe');
DeleteFile('C:\WINDOWS\system32\xml35174.exe');
DeleteFile('C:\WINDOWS\system32\xml30367.exe');
DeleteFile('C:\WINDOWS\system32\xml26528.exe');
DeleteFile('C:\WINDOWS\system32\xml25140.exe');
DeleteFile('C:\WINDOWS\system32\xml74222.exe');
DeleteFile('C:\WINDOWS\system32\xml88183.exe');
DeleteFile('C:\WINDOWS\system32\xml84433.exe');
DeleteFile('C:\WINDOWS\system32\xml33017.exe');
DeleteFile('C:\WINDOWS\system32\xml87508.exe');
DeleteFile('C:\WINDOWS\system32\dotnetfx.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

 

Все, кроме нижеуказанных строк, удалите в MBAM. После удаления откройте лог и прикрепите его к вашему сообщению.

 

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Зараженные файлы:
c:\WINDOWS\system32\drivers\hl_mull.sys (Rootkit.Agent) -> No action taken.
c:\program files\adobe photoshop cs2 russian official\adobecs2rus_kg.exe (Trojan.Agent.CK) -> No action taken.
c:\program files\редактор формул\keygen.exe (RiskWare.Tool.CK) -> No action taken.

 

Кряки – на ваше усмотрение, могут быть не безвредны.

 

Лог RSIT сделайте еще раз

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты
Gluki Постоялец

Gluki

Опубликовано
  • Автор
Опубликовано

Как и просили:

c:\WINDOWS\system32\drivers\hl_mull.sys

http://www.virustotal.com/file-scan/report...0d6d-1315227596

 

C:\WINDOWS\system32\tcpwamblib.exe

http://www.virustotal.com/file-scan/report...3347-1315228394

 

C:\WINDOWS\system32\tcpwalxlib.exe

http://www.virustotal.com/file-scan/report...4894-1315228800

 

C:\WINDOWS\system32\tcpwalrlib.exe

http://www.virustotal.com/file-scan/report...2547-1315228083

 

C:\WINDOWS\system32\dotnetfx.exe

больше 20метров (

 

C:\WINDOWS\002539_.tmp

http://www.virustotal.com/file-scan/report...42f0-1315229347

 

C:\WINDOWS\Tmp.ini

0 размер файла

 

c:\program files\adobe photoshop cs2 russian official\adobecs2rus_kg.exe

http://www.virustotal.com/file-scan/report...6024-1315229511

 

 

 

 

 

C:\WINDOWS\system32\xml73299.exe

http://www.virustotal.com/file-scan/report...146a-1315229181

 

C:\WINDOWS\system32\xml83946.exe

http://www.virustotal.com/file-scan/report...26e4-1315229388

 

в папке C:\WINDOWS\system32\X находиться батник D.bat, содержимое батника: for %%i in (*.exe) do start %%i

Ссылка на комментарий
Поделиться на другие сайты
Gluki Постоялец

Gluki

Опубликовано
  • Автор
Опубликовано (изменено)
Удалите.

 

Удалил )

 

Карантин отправил, жду ответа.

 

MBAM и RSIT логи смогу сделать уже только завтра (

 

Ответ от Касперского:

ARJ.PIF,

bcqr00001.dat,

bcqr00002.dat,

bcqr00003.dat,

bcqr00004.dat,

bcqr00005.dat,

bcqr00006.dat,

bcqr00007.dat,

bcqr00008.dat,

bcqr00009.dat,

bcqr00010.dat,

bcqr00011.dat,

bcqr00012.dat,

bcqr00013.dat,

bcqr00014.dat,

bcqr00015.dat,

bcqr00016.dat,

LHA.PIF,

NOCLOSE.PIF,

PKUNZIP.PIF,

PKZIP.PIF,

RAR.PIF,

UC.PIF

 

Вредоносный код в файлах не обнаружен.

 

bcqr00017.dat,

bcqr00018.dat

 

Файлы нулевой длины.

 

tcpwalrlib.exe - Worm.MSIL.Agent.gl

tcpwalxlib.exe - Worm.MSIL.Agent.gv

tcpwamblib.exe - Worm.MSIL.Agent.hc

xml20032.exe,

xml32444.exe,

xml50724.exe,

xml60372.exe,

xml76231.exe,

xml82840.exe,

xml85346.exe,

xml91104.exe,

xml97941.exe - Trojan-Dropper.Win32.Agent.fpnx

xml30367.exe - Trojan-Dropper.Win32.Agent.fnlh

xml31297.exe,

xml73299.exe - Trojan-Dropper.Win32.Agent.fqsd

xml33017.exe,

xml87508.exe - Trojan-Dropper.Win32.Agent.fmur

xml37686.exe,

xml50301.exe,

xml50306.exe,

xml53636.exe,

xml69027.exe - Trojan-Dropper.Win32.Agent.fohp

 

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

 

xml25140.exe,

xml26528.exe,

xml35174.exe,

xml73889.exe,

xml74222.exe,

xml83946.exe,

xml84433.exe,

xml88183.exe

 

Файлы в процессе обработки.

 

Логи MBAM и RSIT

mbam_log_2011_09_05__18_59_48_.txt

log.txt

Изменено пользователем Gluki
Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано

Найдите диск с дистрибутивом Windows XP SP3 (та, что установлена на PC). Перед выполнением скрипта вставьте диск в дисковод.

 

Procedure SysFileRecoverFromDistrib (Path, Name : string);
begin
if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then
 begin   
ExecuteFile('sfc /scannow', '', 1, 0, true);
AddToLog('Пользователь выполнил "sfc /scannow"');
 end
else
AddToLog('Пользователь выбрал самостоятельный способ замены.');
end;

Procedure CompleteFix(Path, Name : string);
begin
  RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak');
  CopyFile(Path + Name, '%windir%\system32\' + Name);
  DeleteFile('%windir%\system32\' + Name + '.bak');
end;

Procedure SysFileRecoverFromBackup(Path, Name : string);
begin
 AddToLog('Файл ' + '%windir%\system32\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\system32\' + Name));
 if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then
  begin
 AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - MD5 у файлов различные. Запрошен дистрибутив.');
 AddToLog('Файл ' + '%windir%\system32\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\system32\dllcache\' + Name));
 AddToLog('Файл ' + '%windir%\ServicePackFiles\i386\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name));
 SysFileRecoverFromDistrib(Path, Name);
  end
 else if FileExists('%windir%\system32\dllcache\' + Name) then
  begin
AddToLog('Файл ' + '%windir%\system32\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\system32\dllcache\' + Name));
if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
  begin
	CompleteFix('%windir%\system32\dllcache\', Name); 
	AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\');
  end
else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then
 begin
   AddToLog('Файл ' + '%windir%\ServicePackFiles\i386\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name));
   if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
	begin
	  CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name);
	  AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\');
	end
 end
  end;
if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then 
 begin
AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.');
SysFileRecoverFromDistrib(Path, Name);
 end;
SaveLog('SafeZone.log');
end;

var SourcePath : String;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearLog;
QuarantineFile('%windir%\system32\drivers\sfc.sys','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll'); // Указываем имя файла.
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.

 

После выполнения данного скрипта прикрепите файл SafeZone.log к вашему сообщению.

 

 

+ Сделайте лог Gmer. Инструкция тут

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Эльнар
      Помогите пожалуйста удалить вирус
      От Эльнар
      Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.
      CollectionLog-2024.12.02-15.07.zip
    • Lichtqwe
      Помогите пожалуйста удалить майнер
      От Lichtqwe
      Активировал windows через кмс, подхватил майнера с добавлением пользователя john, не получается скачать антивирус, autologger и av block remover не запускаются даже после того как переименовал, пишет отказано в доступе
    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • stasmixaylovic
      [РЕШЕНО] Проверьте пожалуйста на вирусы
      От stasmixaylovic
      FRST на всякий случай )
      CollectionLog-2024.11.04-06.17.zip FRST.txt Addition.txt
    • Namnayshka
      [РЕШЕНО] Помогите, пожалуйста удалить троян или составить fixlog
      От Namnayshka
      Помогите, пожалуйста, поймал где-то heur trojan multi genbadur и касперский не справляется сам. Говорит что для лечения надо перезагрузка и после нее опять через 5 минут выдает предлагаемое лечение, и так по кругу. 
      Addition.txt Fixlog.txt FRST.txt
×
×
  • Создать...