все браузеры вылетают при любом упоминании антивирусных программ например cureit или AVZ

@Guffi · Регистрация: 04.05.2011

Author24 — интернет-сервис помощи студентам

Вероятно поймал какой-то вирус.проблема в следующем: все браузеры вылетают при любом упоминании антивирусных программ например cureit или AVZ. Ввожу в поиске или просто нажимаю на ссылку для скачки этих програм браузер сразу вылетает. На сайты антивирусных компаний тоже не заходит (файл hosts смотрел там чисто). Нашел правила оформления запроса о помощи www.cyberforum.ru/viruses/thread49792.html но дело в том что я не могу скачать эти програмы на компьютер, единственное я смог скачать cureit отсюда ftp://87.242.75.130/pub/drweb/cureit/ при этом браузер не вылетел. Может остальные программы можно как-то скачать таким же способом, подскажите. Заранее вам спасибо за помощь!!!

Я разобрался вроде, симптомы вируса пропали. Но на всякий случай гляньте пожалуйста логи вдруг что осталось от него.

@~~Katharsis~~ · 10.05.2011, 15:26

1.В логе сканирования Hijackthis отметьте:

R3 - URLSearchHook: (no name) - - (no file)

нажмите "Fix checked"

2.Вставьте в привод установочный диск с windows. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

Procedure SysFileRecoverFromDistrib (Path, Name : string);
begin
 if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then
  begin   
    ExecuteFile('sfc /scannow', '', 1, 0, true);
    AddToLog('Пользователь выполнил "sfc /scannow"');
    SaveLog('Recover_' + Name + '.log');
  end
 else
  begin
    AddToLog('Пользователь выбрал самостоятельный способ замены.');
    SaveLog('Recover_' + Name + '.log');
  end;
end;
 
Procedure CompleteFix(Path, Name : string);
begin
   RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak');
   CopyFile(Path + Name, '%windir%\system32\' + Name);
   DeleteFile('%windir%\system32\' + Name + '.bak');
end;
 
Procedure SysFileRecoverFromBackup(Path, Name : string);
begin
  if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then
   begin
     AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - разные файлы в папках. Запрошен дистрибутив.');
     SaveLog('Recover_' + Name + '.log');
     SysFileRecoverFromDistrib(Path, Name);
   end
  else if FileExists('%windir%\system32\dllcache\' + Name) then
   begin
    if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
      begin
        CompleteFix('%windir%\system32\dllcache\', Name); 
        AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\');
        SaveLog('Recover_' + Name + '.log');
      end
    else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then
     begin
       if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
        begin
          CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name);
          AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\');
          SaveLog('Recover_' + Name + '.log');
        end
     end
   end;
 if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then 
  begin
    AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.');
    SaveLog('Recover_' + Name + '.log');
    SysFileRecoverFromDistrib(Path, Name);
  end;
end;
 
var SourcePath : String;
begin
 SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll'); // Указываем имя файла.
end.
 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('%windir%\system32\drivers\sfc.sys','');
 QuarantineFile('D:\Program Files\Opera\null0.369430366022502.exe ','');
 QuarantineFile('D:\Documents and Settings\Диман\Local Settings\Temp\7ZipSfx.000\opera.exe','');
 QuarantineFile('D:\WINDOWS\AppPatch\iwqplyb.dat','');
 QuarantineFile('D:\WINDOWS\system32\uabiuqd.exe','');
 QuarantineFile('D:\WINDOWS\system32\sfcfiles.dll','');
 QuarantineFile('D:\WINDOWS\system32\sfcfiles.dll.bak','');
 QuarantineFile('D:\WINDOWS\system32\stu2.exe','');
 DeleteFile('D:\WINDOWS\system32\sfcfiles.dll.bak');
 DeleteFile('D:\Program Files\Opera\null0.369430366022502.exe ');
 DeleteFile('D:\Documents and Settings\Диман\Local Settings\Temp\7ZipSfx.000\opera.exe'); 
 DeleteFile('D:\WINDOWS\AppPatch\iwqplyb.dat');
 DeleteFile('D:\WINDOWS\system32\uabiuqd.exe');
 DeleteFile('%windir%\system32\drivers\sfc.sys');
 SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamDel('HKEY_LOCAL_MACHINE', 'software\microsoft\shared tools\msconfig\startupreg\Shell', 'D:\Program Files\Opera\null0.369430366022502.exe');
 RegKeyIntParamDel('HKEY_LOCAL_MACHINE', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'D:\Documents and Settings\Диман\Local Settings\Temp\7ZipSfx.000\opera.exe');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта выложите сюда файл Recover_sfcfiles.log

после перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4. повторите логи avz и rsit.

@zirreX · 10.05.2011, 16:26

Перед подготовкой новых логов AVZ не забудьте обновить базы [Файл -- Обновление баз].

@Guffi · 10.05.2011, 17:51 **[ТС]**

Нету диска с windows...но Malwarebytes' Anti-Malware скачал.

@~~Katharsis~~ · 10.05.2011, 18:02

Сообщение от Guffi

но Malwarebytes' Anti-Malware скачал

оч хорошо, но этого не достаточно в вашем случае

Вы скрипт выполнили? Если диска нет - нужно найти, т к некоторые файлы вам нужно заменить на чистые.

@Guffi · 10.05.2011, 18:26 **[ТС]**

диск постараюсь найти...он принципиально тот нужен с которого устанавливал или любой SP3 пойдет???

@~~Katharsis~~ · 10.05.2011, 18:55

любой sp3. В инете найти не сложно.

вобщем, сначала выполняете скрипт, отправляете карантин через указанную форму, дальше удалите в mbam следующее из найденного:

Заражённые файлы:
c:\MEDIA\новая папка\игрушки - приколы\kingofthehill.exe (Spyware.Passwords) -> No action taken.
c:\program file\daemon tools\setupdtsb.exe (Adware.WhenU) -> No action taken.
c:\program file\nero burning rom-6.6.016\aheadneroburningromv6.6.0.16ultraeditionkeygenorion\Keygen.exe (Trojan.Agent) -> No action taken.
c:\program files\common files\Web\svhost.exe (Spyware.Passwords.XGen) -> No action taken.
d:\documents and settings\localservice\local settings\Temp\F.tmp (Spyware.Passwords.XGen) -> No action taken.
d:\documents and settings\localservice\local settings\Temp\mswgrflp.exe (Spyware.Passwords.XGen) -> No action taken.
d:\documents and settings\Диман\doctorweb\quarantine\jar_cache6286704924414910587.tmp (Heuristics.Shuriken) -> No action taken.
d:\documents and settings\Диман\doctorweb\quarantine\msqkdluf.exe (Spyware.Passwords.XGen) -> No action taken.
d:\documents and settings\Диман\local settings\application data\thinstall\Cache\Stubs\0adcc15595d9ecf6e3fa71882ae31d1c5abb8\DW20.EXE (Trojan.Backdoor) -> No action taken.
d:\documents and settings\Диман\local settings\application data\thinstall\Cache\Stubs\177c2deea35f8094bc83fba2a5d34e9387cfd39\OffDiag.exe (Trojan.Backdoor) -> No action taken.
d:\documents and settings\Диман\local settings\application data\thinstall\Cache\Stubs\479d4dcdf09dbb2c9ee9d1c9b884752c87e478a\svchost.exe (Trojan.Backdoor) -> No action taken.
d:\documents and settings\Диман\local settings\application data\thinstall\Cache\Stubs\527010eafa029841825bd4b62ddcb72838ae27\offlb.exe (Trojan.Backdoor) -> No action taken.
d:\documents and settings\Диман\local settings\Temp\ie1B.tmp (Malware.Trace) -> No action taken.
d:\documents and settings\Диман\local settings\Temp\ie3.tmp (Trojan.Agent) -> No action taken.

лог повторите (и про остальные не забудьте).

@Guffi · 11.05.2011, 02:51 **[ТС]**

диск нашел...не знаю может что сделал не так но после выполнения скрипта лог не создается, карантин пустой, файлы указанные в скрипте не нашел, не знаю что и делать теперь.

@Sfera · 11.05.2011, 08:12

Guffi,
файл Recover_sfcfiles.log поищите ручками через Пуск-Поиск

Код

D:\WINDOWS\system32\sfcfiles.dll

проверяем на http://www.virustotal.com ссылку на результат в студию (сюда, т.е.)

далее, выполняйте инструкции хелпера:

Сообщение от Katharsis

3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.
4. повторите логи avz и rsit.

@Guffi · 11.05.2011, 10:29 **[ТС]**

проверил http://www.virustotal.com/file... 1280327676

@Sfera · 11.05.2011, 11:38

Немного не верно

Код

Submission date:
2010-07-28 16:34:36 (UTC)

дата проверки устарела
Загружаете файл, жмете кнопку Reanalyse, как появится результат проверки, копируете ссылку в адресной строке браузера и вставляете в следующее сообщение

+
в нем же должны присутствовать
1.новые логи RSIT
2.AVZ
3.MBAM

@Guffi · 11.05.2011, 15:23 **[ТС]**

зараженные файлы удалил. просканировал еще раз. лог прилагаю

@Guffi · 11.05.2011, 15:33 **[ТС]**

так я немного запутался...сейчас все попорядку заново сделаю

@Guffi · 11.05.2011, 15:42 **[ТС]**

вот перепроверил http://www.virustotal.com/file... 1305113243

@Sfera · 11.05.2011, 16:26

Вставить в привод свою копию дистрибутива Windows и после выполнения скрипта прикрепить файл Recover_sfcfiles.log к следующему сообщению

Код

Procedure SysFileRecoverFromDistrib (Path, Name : string);
begin
 if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then
  begin   
    ExecuteFile('sfc /scannow', '', 1, 0, true);
    AddToLog('Пользователь выполнил "sfc /scannow"');
    SaveLog('Recover_' + Name + '.log');
  end
 else
  begin
    AddToLog('Пользователь выбрал самостоятельный способ замены.');
    SaveLog('Recover_' + Name + '.log');
  end;
end;
 
Procedure CompleteFix(Path, Name : string);
begin
   RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak');
   CopyFile(Path + Name, '%windir%\system32\' + Name);
   DeleteFile('%windir%\system32\' + Name + '.bak');
end;
 
Procedure SysFileRecoverFromBackup(Path, Name : string);
begin
  if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then
   begin
     AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - разные файлы в папках. Запрошен дистрибутив.');
     SaveLog('Recover_' + Name + '.log');
     SysFileRecoverFromDistrib(Path, Name);
   end
  else if FileExists('%windir%\system32\dllcache\' + Name) then
   begin
    if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
      begin
        CompleteFix('%windir%\system32\dllcache\', Name); 
        AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\');
        SaveLog('Recover_' + Name + '.log');
      end
    else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then
     begin
       if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then
        begin
          CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name);
          AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\');
          SaveLog('Recover_' + Name + '.log');
        end
     end
   end;
 if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then 
  begin
    AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.');
    SaveLog('Recover_' + Name + '.log');
    SysFileRecoverFromDistrib(Path, Name);
  end;
end;
 
var SourcePath : String;
begin
 SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll'); // Указываем имя файла.
end.
 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('%windir%\system32\drivers\sfc.sys','');
 QuarantineFile('D:\Program Files\Opera\null0.369430366022502.exe ','');
 QuarantineFile('D:\WINDOWS\system32\stu2.exe','');
 DeleteFile('D:\Program Files\Opera\null0.369430366022502.exe ');
 DeleteFile('%windir%\system32\drivers\sfc.sys');
 SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы. Указываем ник на форуме и тему.
Чтобы карантин не был пустым, отключаем перед его созданием антивирусное по
.
Повторяем логи

@~~Katharsis~~ · 11.05.2011, 16:48

Guffi, подождите немного...

@Guffi · 11.05.2011, 16:55 **[ТС]**

ничего не получается, файл Recover_sfcfiles.log не создается, через поиск искал, антивирусов у меня и так нету, карантин все так же пустой((

@~~Katharsis~~ · 11.05.2011, 16:57

Guffi, поэтому и прошу, подождите, сейчас вам дадут другой скрипт.

@Sfera · 11.05.2011, 17:01

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('%windir%\system32\drivers\sfc.sys','');
 QuarantineFile('D:\Program Files\Opera\null0.369430366022502.exe ','');
 QuarantineFile('D:\WINDOWS\system32\stu2.exe','');
 QuarantineFile('D:\WINDOWS\AppPatch\iwqplyb.dat',''); 
 QuarantineFile('D:\WINDOWS\system32\uabiuqd.exe','');
 DeleteFile('D:\WINDOWS\system32\uabiuqd.exe');
 DeleteFile('D:\WINDOWS\AppPatch\iwqplyb.dat');
 DeleteFile('D:\Program Files\Opera\null0.369430366022502.exe ');
 DeleteFile('%windir%\system32\drivers\sfc.sys');
 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
 CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
 DeleteFile('%windir%\system32\sfcfiles.bak');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('sfc');
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! И далее по инструкции

@Guffi · 11.05.2011, 17:16 **[ТС]**

по инструкции это откуда начинать???

@zirreX 392 / 306 / 5 Регистрация: 02.06.2010 Сообщений: 816
	10.05.2011, 16:26	3
	Перед подготовкой новых логов AVZ не забудьте обновить базы [Файл -- Обновление баз]. 1

@~~Katharsis~~ Заблокирован
	10.05.2011, 18:02	5
	Сообщение от Guffi но Malwarebytes' Anti-Malware скачал оч хорошо, но этого не достаточно в вашем случае Вы скрипт выполнили? Если диска нет - нужно найти, т к некоторые файлы вам нужно заменить на чистые. 0

@Guffi 0 / 0 / 0 Регистрация: 04.05.2011 Сообщений: 104
	10.05.2011, 18:26 [ТС]	6
	диск постараюсь найти...он принципиально тот нужен с которого устанавливал или любой SP3 пойдет??? 0

@~~Katharsis~~ Заблокирован
	10.05.2011, 18:55	7
	любой sp3. В инете найти не сложно. вобщем, сначала выполняете скрипт, отправляете карантин через указанную форму, дальше удалите в mbam следующее из найденного: Заражённые файлы: c:\MEDIA\новая папка\игрушки - приколы\kingofthehill.exe (Spyware.Passwords) -> No action taken. c:\program file\daemon tools\setupdtsb.exe (Adware.WhenU) -> No action taken. c:\program file\nero burning rom-6.6.016\aheadneroburningromv6.6.0.16ultraeditionkeygenorion\Keygen.exe (Trojan.Agent) -> No action taken. c:\program files\common files\Web\svhost.exe (Spyware.Passwords.XGen) -> No action taken. d:\documents and settings\localservice\local settings\Temp\F.tmp (Spyware.Passwords.XGen) -> No action taken. d:\documents and settings\localservice\local settings\Temp\mswgrflp.exe (Spyware.Passwords.XGen) -> No action taken. d:\documents and settings\Диман\doctorweb\quarantine\jar_cache6286704924414910587.tmp (Heuristics.Shuriken) -> No action taken. d:\documents and settings\Диман\doctorweb\quarantine\msqkdluf.exe (Spyware.Passwords.XGen) -> No action taken. d:\documents and settings\Диман\local settings\application data\thinstall\Cache\Stubs\0adcc15595d9ecf6e3fa71882ae31d1c5abb8\DW20.EXE (Trojan.Backdoor) -> No action taken. d:\documents and settings\Диман\local settings\application data\thinstall\Cache\Stubs\177c2deea35f8094bc83fba2a5d34e9387cfd39\OffDiag.exe (Trojan.Backdoor) -> No action taken. d:\documents and settings\Диман\local settings\application data\thinstall\Cache\Stubs\479d4dcdf09dbb2c9ee9d1c9b884752c87e478a\svchost.exe (Trojan.Backdoor) -> No action taken. d:\documents and settings\Диман\local settings\application data\thinstall\Cache\Stubs\527010eafa029841825bd4b62ddcb72838ae27\offlb.exe (Trojan.Backdoor) -> No action taken. d:\documents and settings\Диман\local settings\Temp\ie1B.tmp (Malware.Trace) -> No action taken. d:\documents and settings\Диман\local settings\Temp\ie3.tmp (Trojan.Agent) -> No action taken. лог повторите (и про остальные не забудьте). 0

@Guffi 0 / 0 / 0 Регистрация: 04.05.2011 Сообщений: 104
	11.05.2011, 02:51 [ТС]	8
	диск нашел...не знаю может что сделал не так но после выполнения скрипта лог не создается, карантин пустой, файлы указанные в скрипте не нашел, не знаю что и делать теперь. 0

@Sfera 1130 / 161 / 4 Регистрация: 24.12.2010 Сообщений: 389
	11.05.2011, 08:12	9
	Guffi, файл Recover_sfcfiles.log поищите ручками через Пуск-Поиск Код D:\WINDOWS\system32\sfcfiles.dll проверяем на http://www.virustotal.com ссылку на результат в студию (сюда, т.е.) далее, выполняйте инструкции хелпера: Сообщение от Katharsis 3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 4. повторите логи avz и rsit. 0

@Guffi 0 / 0 / 0 Регистрация: 04.05.2011 Сообщений: 104
	11.05.2011, 10:29 [ТС]	10
	проверил http://www.virustotal.com/file... 1280327676 0

@Sfera 1130 / 161 / 4 Регистрация: 24.12.2010 Сообщений: 389
	11.05.2011, 11:38	11
	Немного не верно Код Submission date: 2010-07-28 16:34:36 (UTC) дата проверки устарела Загружаете файл, жмете кнопку Reanalyse, как появится результат проверки, копируете ссылку в адресной строке браузера и вставляете в следующее сообщение + в нем же должны присутствовать 1.новые логи RSIT 2.AVZ 3.MBAM 0

@Guffi 0 / 0 / 0 Регистрация: 04.05.2011 Сообщений: 104
	11.05.2011, 15:33 [ТС]	13
	так я немного запутался...сейчас все попорядку заново сделаю 0

@~~Katharsis~~ Заблокирован
	11.05.2011, 16:48	16
	Guffi, подождите немного... 0

	11.05.2011, 17:16

@Guffi 0 / 0 / 0 Регистрация: 04.05.2011 Сообщений: 104
	11.05.2011, 16:55 [ТС]	17
	ничего не получается, файл Recover_sfcfiles.log не создается, через поиск искал, антивирусов у меня и так нету, карантин все так же пустой(( 0

@~~Katharsis~~ Заблокирован
	11.05.2011, 16:57	18
	Guffi, поэтому и прошу, подождите, сейчас вам дадут другой скрипт. 0

@Guffi 0 / 0 / 0 Регистрация: 04.05.2011 Сообщений: 104
	11.05.2011, 17:16 [ТС]	20
	по инструкции это откуда начинать??? 0