|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » sfc.SYS, glaide32.sys !!!??? |
|
|||||
|
|
sfc.SYS, glaide32.sys !!!???
|
|
Новый участник Сообщения: 20 |
симптомы:
Не грузятся ни виста ни ХР. ХР постоянно идёт либо на перезагрузку, либо в синий экран. Виста после показа шарика-логотипа уходит в темный экран и всё, без всяких перезагрузок, просто виснет на стадии загрузки. Что делал: Проверка Dr.Web CureIt, AVP tool, Dr.Web LiveCD, AVZ. Все со свежими обновлениями. При проверке найдено 14 вирусов-троянов, всё удалено, логов к сожалению не сохранилось. тему по поводу синего экрана разместил тут - http://forum.oszone.net/thread-142197.html там модератор сказал, что это вирус sfc.SYS, glaide32.sys таким образом, если указанные утилиты не обезвредили и не обнаружили этот хитромудрый вырус, что мне дальше то делать ? А то уже надоело в безопасном режиме работать ! |
|
|
Отправлено: 22:03, 08-06-2009 |
скептик-оптимист
Сообщения: 5712
|
Профиль | Отправить PM | Цитировать |
|
------- Отправлено: 22:14, 08-06-2009 | #2 |
|
Новый участник Сообщения: 20
|
Профиль | Отправить PM | Цитировать В первом посте вложенные логи !
|
|
Отправлено: 22:51, 08-06-2009 | #3 |
|
скептик-оптимист
Сообщения: 5712
|
Профиль | Отправить PM | Цитировать Здравствуйте.
Скопируйте и выполните, расположенный ниже, скрипт в AVZ. Код:
 begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\riodrv.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe','');
QuarantineFile('C:\WINDOWS\system32\wrZ2tokl.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\wrZ2tokl.dll');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe');
DeleteFile('C:\WINDOWS\system32\riodrv.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine .zip'); end. Код:
O21 - SSODL: oledll - {99045B67-9132-9234-D429-7F84D923BC79} - C:\WINDOWS\system32\wrZ2tokl.dll
|
|
------- Отправлено: 23:22, 08-06-2009 | #4 |
Ветеран Сообщения: 2907
|
Профиль | Отправить PM | Цитировать Пофиксите:
Код:
O21 - SSODL: oledll - {99045B67-9132-9234-D429-7F84D923BC79} - C:\WINDOWS\system32\wrZ2tokl.dll
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe','');
QuarantineFile('C:\WINDOWS\system32\riodrv.exe','');
QuarantineFile('C:\WINDOWS\system32\wrZ2tokl.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe');
DeleteFile('C:\WINDOWS\system32\riodrv.exe','');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\wrZ2tokl.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
P.S. Пока я писал это, iskander-k тоже написал инструкции. Однако файлы там удаляются те же, так что можете или его, или мои инструкции выполнить. Но если выполните его инструкции, то все равно quarantine.zip отправьте мне, у него этот файл генерируется после 2-ого скрипта. |
|
|
Отправлено: 23:25, 08-06-2009 | #5 |
|
Странствующий хэлпер Сообщения: 2242
|
Профиль | Отправить PM | Цитировать А я тем более опоздал. Но скрипт самый полный
 Выполните скрипт в AVZ Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wrZ2tokl.dll','');
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
QuarantineFile('C:\WINDOWS\system32\riodrv.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe','');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe');
DeleteFile('C:\WINDOWS\system32\riodrv.exe');
DeleteFile('C:\WINDOWS\system32\wrZ2tokl.dll');
DeleteFileMask('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Выполнить скрипт в AVZ. Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Пофиксить в HiJack Код:
R3 - Default URLSearchHook is missing
O21 - SSODL: oledll - {99045B67-9132-9234-D429-7F84D923BC79} - C:\WINDOWS\system32\wrZ2tokl.dll
|
|
------- Отправлено: 23:29, 08-06-2009 | #6 |
|
Новый участник Сообщения: 20
|
Профиль | Отправить PM | Цитировать Не ожидал такой быстрой реакции и проверил диск С avp tool, он опознал эти файлы как вирусы и удалил. Но дело в том, что буквально вчера это же сделал и др вэб, но сегодня всё на месте было.
есть смысл после авп тул отсылать вам карантин или стоит новые логи создать ? но проблема с синим экраном осталась. и не нашел как в пофиксить в HiJack ?! |
|
Отправлено: 00:11, 09-06-2009 | #7 |
|
Модератор
Сообщения: 16832
|
Профиль | Сайт | Отправить PM | Цитировать AlhimikRus, запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked"
|
|
------- Отправлено: 00:59, 09-06-2009 | #8 |
|
Новый участник Сообщения: 20
|
Профиль | Отправить PM | Цитировать А кстати авз на висте нормально работает ? А то у меня не сработала Установка драйвера расширенного мониторинга процессов, просто никакой реакции на нажатие этой функции не произошло. и если эта функция не заработала, есть ли смысл в дальнейшей проверке ?
|
|
Отправлено: 01:05, 09-06-2009 | #9 |
|
Ветеран Сообщения: 2907
|
Профиль | Отправить PM | Цитировать thyrex, видел "askbar", но вроде это AdWare. Так что сомневался и не стал писать в скрипт.
|
|
Отправлено: 01:13, 09-06-2009 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Разное - hiberfil.sys и pagefile.sys - что это такое??? | Guest | Microsoft Windows 2000/XP | 12 | 07-07-2013 01:34 | |
| [решено] сбой на sfc.sys 0x0000003 (0xf34facb8, 0xf34facc4, 0xf34fac50, 0x00000000) | Dmitriy Sh | Лечение систем от вредоносных программ | 5 | 20-11-2009 14:55 | |
| sfc.sys , BSOD | Soo_O | Лечение систем от вредоносных программ | 4 | 15-11-2009 18:21 | |
| Ошибка - Антивирусная прога и файлы hiberfil.sys, pagefile.sys и cryptheft.dll | мибокс | Microsoft Windows 2000/XP | 3 | 18-08-2008 14:45 | |
| Разное - [решено] Увеличился размер файлов pagefile.sys и hiberfile.sys | geleta | Microsoft Windows 2000/XP | 11 | 11-09-2007 10:34 | |
|
|
Время: 20:50. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
