Gluki Опубликовано 2 сентября, 2011 Поделиться Опубликовано 2 сентября, 2011 Всем привет. Есть системник с системой WinXP pro, стоит KIS2011 (благополучно убит), в строке браузера тройные флеши + замена вводимого адреса на другое, сама система тоже тормозит Какие действия посоветуете для удаления всех зловредов? hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 2 сентября, 2011 Поделиться Опубликовано 2 сентября, 2011 (изменено) Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\system32\tcpwamelib.exe'); SetServiceStart('WameSvc', 4); StopService('WameSvc'); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe',''); QuarantineFile('C:\Program Files\VPets\VPets.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\msvcrt.dll',''); QuarantineFile('C:\WINDOWS\system32\04D.tmp',''); QuarantineFile('C:\WINDOWS\system32\01.tmp',''); QuarantineFile('C:\Tcpz-x86.sys',''); QuarantineFile('TCPZ.sys',''); QuarantineFile('C:\WINDOWS/system32/cloudsrv.exe',''); QuarantineFile('c:\windows\791968_s.dll',''); QuarantineFile('c:\windows\2651001_s.dll',''); QuarantineFile('c:\windows\2626586_s.dll',''); QuarantineFile('c:\windows\2584396_s.dll',''); QuarantineFile('c:\windows\system32\tcpwamelib.exe',''); DeleteFile('c:\windows\2584396_s.dll'); DeleteFile('c:\windows\2626586_s.dll'); DeleteFile('c:\windows\2651001_s.dll'); DeleteFile('c:\windows\791968_s.dll'); DeleteFile('C:\Tcpz-x86.sys'); DeleteFile('C:\WINDOWS\System32\tcpwamelib.exe'); DeleteFile('C:\WINDOWS/system32/cloudsrv.exe'); DeleteFile('C:\WINDOWS\system32\01.tmp'); DeleteFile('C:\WINDOWS\system32\04D.tmp'); DeleteFile('C:\Program Files\Internet Explorer\msvcrt.dll'); DeleteFile('C:\Program Files\VPets\VPets.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe'); DelCLSID('08B0E5C0-4FCB-11CF-AAX5-90401C608512'); DelCLSID('0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\6to4\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Ias\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Iprip\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Irmon\Parameters','ServiceDll'); DeleteService('okneqj'); DeleteService('ohxxt'); DeleteService('cloudsrv'); DeleteService('WameSvc'); DeleteService('Tcpz-x86'); DeleteFileMask('C:\Program Files\VPets', '*.*', true); DeleteDirectory('C:\Program Files\VPets'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('WameSvc'); BC_DeleteSvc('cloudsrv'); BC_DeleteSvc('Tcpz-x86'); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Далее выполните вот такой скрипт После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS. Его необходимо прикрепить к следующему посту. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe Если настройки прокси-сервера не прописывали самостоятельно, то эту строку пофиксите тоже R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxysrv:3128 Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена Установите SP3 (может потребоваться активация) + все новые обновления для Windows Установите Internet Explorer 8 (даже если им не пользуетесь) Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. + Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Изменено 3 сентября, 2011 пользователем Tiare Ссылка на комментарий Поделиться на другие сайты Поделиться
Gluki Опубликовано 5 сентября, 2011 Автор Поделиться Опубликовано 5 сентября, 2011 Скрипты выполнил. Действую дальше по пунктам ) Correct_wuauserv_BITS.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 5 сентября, 2011 Поделиться Опубликовано 5 сентября, 2011 Скрипты выполнил.Действую дальше по пунктам ) Хорошо) TCP Half Open Limited Patcher ( TCP-Z) - устанавливали сами? Ссылка на комментарий Поделиться на другие сайты Поделиться
Gluki Опубликовано 5 сентября, 2011 Автор Поделиться Опубликовано 5 сентября, 2011 Хорошо) TCP Half Open Limited Patcher ( TCP-Z) - устанавливали сами? Настройкой компа занимался не я , но думаю что его установили самостоятельно для торрентов Ссылка на комментарий Поделиться на другие сайты Поделиться
Gluki Опубликовано 5 сентября, 2011 Автор Поделиться Опубликовано 5 сентября, 2011 Накатил SP3 и IE8, другие обновления накатить пока не удалось (инет на работе паршивый) Новые логи. На подходе логи MBAM hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 5 сентября, 2011 Поделиться Опубликовано 5 сентября, 2011 (изменено) Уже намного лучше) Остатки Dr. Web – удалить. Ссылка на удаление остатков антивирусных программ тут Вот ваши зловреды (те, которые на данный момент есть в базах) Troj/OnLineG-F (Trojan-PSW.Win32.OnLineGames) - если играют в онлайн-игры - сменить пароли. Trojan-Downloader.Win32.Agent.szfe ссылка Backdoor.Win32.Xyligan.dju ссылка Карантин в вирлаб отправили? Жду отчеты MBAM и RSIT Изменено 5 сентября, 2011 пользователем Tiare Ссылка на комментарий Поделиться на другие сайты Поделиться
Gluki Опубликовано 5 сентября, 2011 Автор Поделиться Опубликовано 5 сентября, 2011 (изменено) Dr.Web удалил. Карантин отправил, жду ответа. Лог MBAM и RSIT Ответ вирлаба 2584396_s.dll, 2626586_s.dll, 2651001_s.dll - Backdoor.Win32.Xyligan.dju 791968_s.dll - Backdoor.Win32.Xyligan.dma WINDOWS/system32/cloudsrv.exe - Trojan-Downloader.Win32.Agent.szfe В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами. tcpwamelib.exe Файл в процессе обработки. mbam_log_2011_09_05__15_18_15_.txt log.txt info.txt Изменено 5 сентября, 2011 пользователем Gluki Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 5 сентября, 2011 Поделиться Опубликовано 5 сентября, 2011 (изменено) Пока сделайте это Проверьте эти файлы на virustotal Раскрывающийся текст: кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата. Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. c:\WINDOWS\system32\drivers\hl_mull.sys C:\WINDOWS\system32\tcpwamblib.exe C:\WINDOWS\system32\tcpwalxlib.exe C:\WINDOWS\system32\tcpwalrlib.exe C:\WINDOWS\system32\dotnetfx.exe C:\WINDOWS\002539_.tmp C:\WINDOWS\Tmp.ini c:\program files\adobe photoshop cs2 russian official\adobecs2rus_kg.exe и несколько их этого списка, на выбор C:\WINDOWS\system32\xml73299.exe C:\WINDOWS\system32\xml83946.exe C:\WINDOWS\system32\xml20032.exe C:\WINDOWS\system32\xml82840.exe C:\WINDOWS\system32\xml76231.exe C:\WINDOWS\system32\xml32444.exe C:\WINDOWS\system32\xml50724.exe C:\WINDOWS\system32\xml60372.exe Еще интересует содержимое этой папки C:\WINDOWS\system32\X скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); ClearQuarantine; QuarantineFile('C:\WINDOWS\002539_.tmp',''); QuarantineFile('C:\WINDOWS\UC.PIF',''); QuarantineFile('C:\WINDOWS\RAR.PIF',''); QuarantineFile('C:\WINDOWS\PKZIP.PIF',''); QuarantineFile('C:\WINDOWS\PKUNZIP.PIF',''); QuarantineFile('C:\WINDOWS\NOCLOSE.PIF',''); QuarantineFile('C:\WINDOWS\LHA.PIF',''); QuarantineFile('C:\WINDOWS\ARJ.PIF',''); QuarantineFile('C:\WINDOWS\Tmp.ini',''); QuarantineFile('c:\WINDOWS\system32\drivers\hl_mull.sys',''); QuarantineFile('C:\WINDOWS\system32\tcpwamblib.exe',''); QuarantineFile('C:\WINDOWS\system32\tcpwalxlib.exe',''); QuarantineFile('C:\WINDOWS\system32\tcpwalrlib.exe',''); QuarantineFile('C:\WINDOWS\system32\xml73299.exe',''); QuarantineFile('C:\WINDOWS\system32\xml83946.exe',''); QuarantineFile('C:\WINDOWS\system32\xml31297.exe',''); QuarantineFile('C:\WINDOWS\system32\xml20032.exe',''); QuarantineFile('C:\WINDOWS\system32\xml82840.exe',''); QuarantineFile('C:\WINDOWS\system32\xml76231.exe',''); QuarantineFile('C:\WINDOWS\system32\xml32444.exe',''); QuarantineFile('C:\WINDOWS\system32\xml50724.exe',''); QuarantineFile('C:\WINDOWS\system32\xml60372.exe',''); QuarantineFile('C:\WINDOWS\system32\xml91104.exe',''); QuarantineFile('C:\WINDOWS\system32\xml85346.exe',''); QuarantineFile('C:\WINDOWS\system32\xml97941.exe',''); QuarantineFile('C:\WINDOWS\system32\xml53636.exe',''); QuarantineFile('C:\WINDOWS\system32\xml50306.exe',''); QuarantineFile('C:\WINDOWS\system32\xml73889.exe',''); QuarantineFile('C:\WINDOWS\system32\xml50301.exe',''); QuarantineFile('C:\WINDOWS\system32\xml37686.exe',''); QuarantineFile('C:\WINDOWS\system32\xml69027.exe',''); QuarantineFile('C:\WINDOWS\system32\xml35174.exe',''); QuarantineFile('C:\WINDOWS\system32\xml30367.exe',''); QuarantineFile('C:\WINDOWS\system32\xml26528.exe',''); QuarantineFile('C:\WINDOWS\system32\xml25140.exe',''); QuarantineFile('C:\WINDOWS\system32\xml74222.exe',''); QuarantineFile('C:\WINDOWS\system32\xml88183.exe',''); QuarantineFile('C:\WINDOWS\system32\xml84433.exe',''); QuarantineFile('C:\WINDOWS\system32\xml33017.exe',''); QuarantineFile('C:\WINDOWS\system32\xml87508.exe',''); QuarantineFile('C:\WINDOWS\system32\dotnetfx.exe',''); DeleteFile('C:\WINDOWS\system32\tcpwamblib.exe'); DeleteFile('C:\WINDOWS\system32\tcpwalxlib.exe'); DeleteFile('C:\WINDOWS\system32\tcpwalrlib.exe'); DeleteFile('C:\WINDOWS\system32\xml73299.exe'); DeleteFile('C:\WINDOWS\system32\xml83946.exe'); DeleteFile('C:\WINDOWS\system32\xml31297.exe'); DeleteFile('C:\WINDOWS\system32\xml20032.exe'); DeleteFile('C:\WINDOWS\system32\xml82840.exe'); DeleteFile('C:\WINDOWS\system32\xml76231.exe'); DeleteFile('C:\WINDOWS\system32\xml32444.exe'); DeleteFile('C:\WINDOWS\system32\xml50724.exe'); DeleteFile('C:\WINDOWS\system32\xml60372.exe'); DeleteFile('C:\WINDOWS\system32\xml91104.exe'); DeleteFile('C:\WINDOWS\system32\xml85346.exe'); DeleteFile('C:\WINDOWS\system32\xml97941.exe'); DeleteFile('C:\WINDOWS\system32\xml53636.exe'); DeleteFile('C:\WINDOWS\system32\xml50306.exe'); DeleteFile('C:\WINDOWS\system32\xml73889.exe'); DeleteFile('C:\WINDOWS\system32\xml50301.exe'); DeleteFile('C:\WINDOWS\system32\xml37686.exe'); DeleteFile('C:\WINDOWS\system32\xml69027.exe'); DeleteFile('C:\WINDOWS\system32\xml35174.exe'); DeleteFile('C:\WINDOWS\system32\xml30367.exe'); DeleteFile('C:\WINDOWS\system32\xml26528.exe'); DeleteFile('C:\WINDOWS\system32\xml25140.exe'); DeleteFile('C:\WINDOWS\system32\xml74222.exe'); DeleteFile('C:\WINDOWS\system32\xml88183.exe'); DeleteFile('C:\WINDOWS\system32\xml84433.exe'); DeleteFile('C:\WINDOWS\system32\xml33017.exe'); DeleteFile('C:\WINDOWS\system32\xml87508.exe'); DeleteFile('C:\WINDOWS\system32\dotnetfx.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Все, кроме нижеуказанных строк, удалите в MBAM. После удаления откройте лог и прикрепите его к вашему сообщению. Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Зараженные файлы: c:\WINDOWS\system32\drivers\hl_mull.sys (Rootkit.Agent) -> No action taken. c:\program files\adobe photoshop cs2 russian official\adobecs2rus_kg.exe (Trojan.Agent.CK) -> No action taken. c:\program files\редактор формул\keygen.exe (RiskWare.Tool.CK) -> No action taken. Кряки – на ваше усмотрение, могут быть не безвредны. Лог RSIT сделайте еще раз Изменено 5 сентября, 2011 пользователем Tiare Ссылка на комментарий Поделиться на другие сайты Поделиться
Gluki Опубликовано 5 сентября, 2011 Автор Поделиться Опубликовано 5 сентября, 2011 Как и просили: c:\WINDOWS\system32\drivers\hl_mull.sys http://www.virustotal.com/file-scan/report...0d6d-1315227596 C:\WINDOWS\system32\tcpwamblib.exe http://www.virustotal.com/file-scan/report...3347-1315228394 C:\WINDOWS\system32\tcpwalxlib.exe http://www.virustotal.com/file-scan/report...4894-1315228800 C:\WINDOWS\system32\tcpwalrlib.exe http://www.virustotal.com/file-scan/report...2547-1315228083 C:\WINDOWS\system32\dotnetfx.exe больше 20метров ( C:\WINDOWS\002539_.tmp http://www.virustotal.com/file-scan/report...42f0-1315229347 C:\WINDOWS\Tmp.ini 0 размер файла c:\program files\adobe photoshop cs2 russian official\adobecs2rus_kg.exe http://www.virustotal.com/file-scan/report...6024-1315229511 C:\WINDOWS\system32\xml73299.exe http://www.virustotal.com/file-scan/report...146a-1315229181 C:\WINDOWS\system32\xml83946.exe http://www.virustotal.com/file-scan/report...26e4-1315229388 в папке C:\WINDOWS\system32\X находиться батник D.bat, содержимое батника: for %%i in (*.exe) do start %%i Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 5 сентября, 2011 Поделиться Опубликовано 5 сентября, 2011 C:\WINDOWS\002539_.tmpC:\WINDOWS\Tmp.ini C:\WINDOWS\system32\X Удалите. Ссылка на комментарий Поделиться на другие сайты Поделиться
Gluki Опубликовано 5 сентября, 2011 Автор Поделиться Опубликовано 5 сентября, 2011 (изменено) Удалите. Удалил ) Карантин отправил, жду ответа. MBAM и RSIT логи смогу сделать уже только завтра ( Ответ от Касперского: ARJ.PIF, bcqr00001.dat, bcqr00002.dat, bcqr00003.dat, bcqr00004.dat, bcqr00005.dat, bcqr00006.dat, bcqr00007.dat, bcqr00008.dat, bcqr00009.dat, bcqr00010.dat, bcqr00011.dat, bcqr00012.dat, bcqr00013.dat, bcqr00014.dat, bcqr00015.dat, bcqr00016.dat, LHA.PIF, NOCLOSE.PIF, PKUNZIP.PIF, PKZIP.PIF, RAR.PIF, UC.PIF Вредоносный код в файлах не обнаружен. bcqr00017.dat, bcqr00018.dat Файлы нулевой длины. tcpwalrlib.exe - Worm.MSIL.Agent.gl tcpwalxlib.exe - Worm.MSIL.Agent.gv tcpwamblib.exe - Worm.MSIL.Agent.hc xml20032.exe, xml32444.exe, xml50724.exe, xml60372.exe, xml76231.exe, xml82840.exe, xml85346.exe, xml91104.exe, xml97941.exe - Trojan-Dropper.Win32.Agent.fpnx xml30367.exe - Trojan-Dropper.Win32.Agent.fnlh xml31297.exe, xml73299.exe - Trojan-Dropper.Win32.Agent.fqsd xml33017.exe, xml87508.exe - Trojan-Dropper.Win32.Agent.fmur xml37686.exe, xml50301.exe, xml50306.exe, xml53636.exe, xml69027.exe - Trojan-Dropper.Win32.Agent.fohp В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами. xml25140.exe, xml26528.exe, xml35174.exe, xml73889.exe, xml74222.exe, xml83946.exe, xml84433.exe, xml88183.exe Файлы в процессе обработки. Логи MBAM и RSIT mbam_log_2011_09_05__18_59_48_.txt log.txt Изменено 5 сентября, 2011 пользователем Gluki Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 5 сентября, 2011 Поделиться Опубликовано 5 сентября, 2011 Найдите диск с дистрибутивом Windows XP SP3 (та, что установлена на PC). Перед выполнением скрипта вставьте диск в дисковод. Procedure SysFileRecoverFromDistrib (Path, Name : string); begin if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then begin ExecuteFile('sfc /scannow', '', 1, 0, true); AddToLog('Пользователь выполнил "sfc /scannow"'); end else AddToLog('Пользователь выбрал самостоятельный способ замены.'); end; Procedure CompleteFix(Path, Name : string); begin RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak'); CopyFile(Path + Name, '%windir%\system32\' + Name); DeleteFile('%windir%\system32\' + Name + '.bak'); end; Procedure SysFileRecoverFromBackup(Path, Name : string); begin AddToLog('Файл ' + '%windir%\system32\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\system32\' + Name)); if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then begin AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - MD5 у файлов различные. Запрошен дистрибутив.'); AddToLog('Файл ' + '%windir%\system32\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\system32\dllcache\' + Name)); AddToLog('Файл ' + '%windir%\ServicePackFiles\i386\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name)); SysFileRecoverFromDistrib(Path, Name); end else if FileExists('%windir%\system32\dllcache\' + Name) then begin AddToLog('Файл ' + '%windir%\system32\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\system32\dllcache\' + Name)); if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then begin CompleteFix('%windir%\system32\dllcache\', Name); AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\'); end else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then begin AddToLog('Файл ' + '%windir%\ServicePackFiles\i386\dllcache\' + Name + ' -> MD5 = ' + CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name)); if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then begin CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name); AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\'); end end end; if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then begin AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.'); SysFileRecoverFromDistrib(Path, Name); end; SaveLog('SafeZone.log'); end; var SourcePath : String; begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearLog; QuarantineFile('%windir%\system32\drivers\sfc.sys',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll'); // Указываем имя файла. BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('sfc'); BC_Activate; RebootWindows(true); end. После выполнения данного скрипта прикрепите файл SafeZone.log к вашему сообщению. + Сделайте лог Gmer. Инструкция тут Ссылка на комментарий Поделиться на другие сайты Поделиться
Gluki Опубликовано 6 сентября, 2011 Автор Поделиться Опубликовано 6 сентября, 2011 Скрипт выполнил. логи прилагаю GMER.log SafeZone.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Gluki Опубликовано 6 сентября, 2011 Автор Поделиться Опубликовано 6 сентября, 2011 Ну и стандартные логи hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти