Возможно вирус, постепенно рушит всё,но антивирусами не детектится. Помогите если можно.

**боцман** · 26.04.2011, 18:49

Проблема такая. Компьютер в школе, в бухгалтерии, при запуске IE он запускается, потом появляется окошко с надписью дословно "Приложение умирает, вы хотите записать диагностический файл для службы поддержки?" и кнопки да и нет. Убрать это окошко уже невозможно, работа останавливается, да и принтер подключенный к этой машине и расшаренный для других другие уже не видят. В браузере загружается только первая страница, потом ступор. Все способы (Dr Web, KAV, AVZ) результатов не дали, нужна помощь более опытных специалистов. Логи прикрепляю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 26.04.2011, 19:57

Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ

Код:

procedure WhatService(AServiceName : string);
  var
   dllname, servicekey : string;
  begin
   servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
   RegKeyResetSecurity( 'HKLM', servicekey);
   RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
   AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
   AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
   AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
   dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
   AddToLog('ServiceDll: '+dllname);
   QuarantineFile(dllname,'');
  end;
 begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  WhatService('rmwjyllw');
  BC_ImportAll;
  ExecuteSysClean;
  ExecuteWizard('TSW', 2, 2, true);
  ExecuteWizard('SCU', 2, 2, true);
  BC_Activate;
  SaveLog(GetAVZDirectory+'rmwjyllw.log');
  RebootWindows(true);
 end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- файл rmwjyllw.log прикрепите к сообщению

**боцман** · 27.04.2011, 10:07

Скрипты выполнил, карантин выслал, Результата пока нет, появляется всё тоже окошко "MyApp" с тем же сообщением об умирающем приложении. И при загрузке компьютера появляется мастер установки нового оборудования пытается установить какое то оборудование непонятно правда какое. В диспетчере оборудования ничего нового и непонятного пока нет. Стала появляться ошибка (правда ещё до выполнения лечения) "инструкция по адресу 0x7c9104fa обратилась к памяти по адресу 0xfffffffd память не может быть "read".
Запрошенные файлы прикрепляю.

**polword** · 27.04.2011, 10:52

- Выполните скрипт в AVZ

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
 var
  i : integer; 
  KeyList : TStringList;
  KeyName : string;                           
 begin
  RegKeyResetSecurity(ARoot, AName);
  KeyList := TStringList.Create;
  RegKeyEnumKey(ARoot, AName, KeyList);
  for i := 0 to KeyList.Count-1 do
   begin
    KeyName := AName+'\'+KeyList[i];
    RegKeyResetSecurity(ARoot, KeyName);
    RegKeyResetSecurityEx(ARoot, KeyName);
   end;
  KeyList.Free;
 end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
 var
  i : integer;
  KeyList : TStringList;
  KeyName : string;                           
 begin
  Result := 0;
  if StopService(AServiceName) then Result := Result or 1;
  if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
  KeyList := TStringList.Create;
  RegKeyEnumKey('HKLM','SYSTEM', KeyList);
  for i := 0 to KeyList.Count-1 do
   if pos('controlset', LowerCase(KeyList[i])) > 0 then
    begin
     KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
     if RegKeyExistsEx('HKLM', KeyName) then
      begin
       Result := Result or 4;                  
       RegKeyResetSecurityEx('HKLM', KeyName);
       RegKeyDel('HKLM', KeyName);
       if RegKeyExistsEx('HKLM', KeyName) then               
       Result := Result or 8;                  
      end;
    end;                 
  if AIsSvcHosted then
    BC_DeleteSvcReg(AServiceName)
   else
    BC_DeleteSvc(AServiceName);
  KeyList.Free;
 end;
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 BC_ServiceKill('rmwjyllw');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\rmwjyllw\Parameters','ServiceDll');
 DeleteFile('C:\WINDOWS\system32\ormdi.dll');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

**боцман** · 27.04.2011, 18:25

Уважаемые спецы. скрипт выполнил, файл прикрепляю. После пыток с пристрастием девочек из бухгалтерии, выяснилось что программа Крипто Про была переустановлена ими самостоятельно, но не с диска с дистрибутивом, а скачана с сайта. Возможно демо версия, по сроку так примерно и выходит. После переустановки прграммы с диска окошко исчезло, обновился антивирь и вообще компьютер потихоньку задвигался. Теперь у них возникли проблемы с сайтом госзакупок. Возможно в результате лечения были повреждены пароли или сертификаты, пытаюсь пока привести всё в какое то соответствие. Вроде не блондинки....

**thyrex** · 28.04.2011, 00:24

Плохого не видно

**боцман** · 28.04.2011, 18:35

Да спасибо большое за помощь, всё вроде наладилось, и принтеры и пр. Осталось только непонятное желание установить какоето оборудование, но пока это не мешает попытаемся сами решить эту проблему. Думаю что тему можно переводить в решённые.