РЕШЕН Проблем със заразен системен файл

[kitaen]

Здравейте,Аваст ми откри заразен системен файл-А0008913.sys,заплаха-WIN32 ,MALWARE-GEN.Сложих го в "клетката" на Аваст и оттогава компа започна да работи бавно,връзката ми с интернет (през wifi адаптер) изчезна......

Как мога да поправя самия системен файл без преинсталиране?
Аваст не може да го излекува.....

[s.feradov]

Следвайте инструкциите от този коментар и прикрепете създадените log-файлове към следващия Ви коментар.

[kitaen]

Благодаря за помощта.Прикачвам лог файловете.Malware програмата откри и изчисти две гадини,но не можах да ъпгрейдна дефинициите,защото адаптера привидно работи (мига),но компа не се свързва с интернет и след прочистването компа работи с ужасно забавени реакции.

attach.rar

[s.feradov]

Изтеглете OTL

• 
  
• Запазете файла на Вашия десктоп.
  
• Стартирайте инструмента.
  
• Уверете се, че процесът на сканиране няма да бъде прекъснат.
  
• В главния прозорец на програмата сложете отметка пред Scan All Users.
  
• В полето Standart Registry изберете All.
  
• Сложете отметки пред LOP Check и Purity Check.
  
• От падащото меню File Age изберете 90 days.
  
• Уверете се, че има отметкa пред Skip Microsoft Files.
  
• В полето Custom Scans/Fixes поставете следния текст:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%USERPROFILE%\*.*
%USERPROFILE%\Application Data\*.*
%USERPROFILE%\Application Data\*.
%USERPROFILE%\Local Settings\*.*
%USERPROFILE%\Local Settings\temp\*.exe
%USERPROFILE%\Local Settings\Temporary Internet Files\*.exe
%USERPROFILE%\Local Settings\Application Data\*.*
%AllUsersProfile%\*.*
%AllUsersProfile%\Application Data\*.*
%AllUsersProfile%\Application Data\*.
%AllUsersProfile%\Application Data\Local Settings\*.*
%AllUsersProfile%\Application Data\Local Settings\Temp\*.exe
%ALLUSERSPROFILE%\Documents\My Music\*.exe
%ALLUSERSPROFILE%\Documents\My Pictures\*.exe
%ALLUSERSPROFILE%\Documents\My Videos\*.exe
%ALLUSERSPROFILE%\Documents\*.exe
%USERPROFILE%\My Documents\*.*
%CommonProgramFiles%\*.*
%CommonProgramFiles%\ComObjects*.*
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
%systemroot%\system32\config\systemprofile\*.*
%systemroot%\system32\config\systemprofile\Application Data\*.*
%systemroot%\system32\config\systemprofile\\Local Settings\*.*
%systemroot%\system32\config\systemprofile\\Local Settings\Application Data\*.*
%systemroot%\system32\config\systemprofile\\Local Settings\Temp\*.exe
%systemroot%\system32\config\systemprofile\\Local Settings\Temporary Internet Files\*.exe
C:\Documents and Settings\LocalService\Application Data\*.*
C:\Documents and Settings\LocalService\Local Settings\Application Data\*.*
C:\Documents and Settings\LocalService\Local Settings\temp\*.exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\*.exe
C:\Documents and Settings\LocalService\Local Settings\*.*
C:\Documents and Settings\LocalService\*.*
C:\Documents and Settings\NetworkService\Application Data\*.*
C:\Documents and Settings\NetworkService\Local Settings\Application Data\*.*
C:\Documents and Settings\NetworkService\Local Settings\temp\*.exe
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\*.exe
C:\Documents and Settings\NetworkService\Local Settings\*.*
C:\Documents and Settings\NetworkService\*.*
%windir%\temp\*.exe
%windir%\*.
%windir%\installer\*.
%windir%\system32\*.
%Temp%\smtmp\1\*.*
%Temp%\smtmp\2\*.*
%Temp%\smtmp\3\*.*
%Temp%\smtmp\4\*.*
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\Spool\prtprocs\w32x86\*.dll
%systemroot%\*. /rp /s
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\temp\*.* /S /MD5
%systemroot%\assembly\GAC\*.ini
%systemroot%\assembly\GAC_32\*.ini
%SystemRoot%\assembly\GAC_MSIL\*.ini
HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CLASSES_ROOT\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CLASSES_ROOT\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s
HKEY_CURRENT_USER\Software\MSOLoad /s
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
consrv.dll
services.exe
svchost.exe
explorer.exe
userinit.exe
winlogon.exe
smss.exe
lsass.exe
atapi.sys
iaStor.sys
serial.sys
disk.sys
volsnap.sys
redbook.sys
i8042prt.sys
afd.sys
netbt.sys
tcpip.sys
ipsec.sys
hlp.dat
str.sys
crexv.ocx
/md5stop

Копирайте кода точно както е даден. Уверете се, че всяка от командите е на нов ред, както е в полето.

 

Натиснете бутона Run Scan. Ще започне сканиране, което няма да продължи дълго.Когато сканирането приключи автоматично ще се отворят два Notepad log-файла - OTL.txt и Extras.txt.

 

Моля, прикачете тези два файла към следващия Ви коментар.

[kitaen]

Прикачвам новите файловете...

OTL.Txt

Extras.Txt

[s.feradov]

Изтеглете прикачения архив.

• Запазете файла на Вашия декстоп.
  
• Разархивирайте файловете в директория по Ваше желание.
  
• Спрете временно реалната защита на avast!
  
• Стартирайте fixtcpip.bat
  
• Системата ще се рестартира.
  

Проверете дали проблемът, свързан с интернет достъпа е налице.

AVAST_FIX.zip

[kitaen]

Благодаря,сега работи нормално...

[s.feradov]

Нека направим още няколко проверки:

 

Изтеглете Autoruns

• Запазете файла на Вашия десктоп и го разархивирайте в директория по Ваше желание.
  
• Стартирайте програмата.
  
• Меню Options -> Filter Options... -> поставете отметка пред Hide Microsoft Entries.
  
• Запазете промените.
  
• Mеню File -> Refresh.
  
• Mеню File -> Save....
  

Запазете файла, архивирайте го чрез софтуер по желание и го прикачете към следващия Ви коментар.

 

Изтеглете AdwCleaner

• Запазете файла на Вашия десктоп.
  
• Спрете работата на всички програми и браузъри.
  
• Стартирайте инструмента.
  
• Изберете бутон Delete.
  
• Вашата система ще се рестартира автоматично.
  

Моля, прикачете log-файла, създаден от инструмента, в следващия Ви коментар.

 

Log-файлът е наименован AdwCleaner[s1].txt и се намира в следната директория:

C:\

 

Изтеглете JRT

• Запазете файла на Вашия десктоп.
  

Спрете временно работата на всички приложения, включително и на защитните програми, които са инсталирани на системата.

• Стартирайте JRT.exe.
  
• При новопоявилия се прозорец, натиснете който и да е клавиш от клавиатурата.
  
• Инструментът ще сканира системата.
  
• След края на процеса, ще се създаде log-файл с наименования JRT.txt
  

Моля, прикачете този файл към следващия Ви коментар.

[kitaen]

JRT.exe ми го показва "злонамерен файл"....с ESET NOD 32 съм-лицензиран....какво да го правя!?

 

п.п.всъщност няма значение,сега видях ,че трябва да се изключи,но ми показва съобщението още при изтеглянето...........

[kitaen]

Прикачвам архивирани трите лог-файла...

JRT.rar

[s.feradov]

Изпитвате ли някакви проблеми, свързани с работата на системата?

[kitaen]

Засега работи нормално,ако усетя нещо ще пиша.Благодаря за адекватната помощ!

Нещо друго трябва ли да се тества?

[s.feradov]

Изтеглете OTC.

• Стартирайте OTC.exe.
  
• Изберете бутон CleanUp!

 

Това ще премахне инструментите, които ползвахте.