страницы автоматично опускаются к низу, произвольно открываются окна
система иногда перезагружается, и в целом подтормаживает
глючит мышь. произвольно нажимаются кнопки
страницы автоматично опускаются к низу, произвольно открываются окна
система иногда перезагружается, и в целом подтормаживает
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт AVZ:
Система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;} StopService('Isx74'); StopService('tcpsr'); QuarantineFile('C:\WINDOWS\system32\WlCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Isx74.sys',''); QuarantineFile('srv.exe',''); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\WlCtrl32.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('tcpsr'); SetAVZPMStatus(true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
- Восстановите функции Windows Update с помощью regedit.
Последний раз редактировалось gjf; 01.11.2009 в 23:45.
визуально вроде ничего не изменилось
Вообще-то, когда Вас просят что-то делать - нужно делать всё.Сообщение от gjf
Ну да ладно.
В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ.
После этого - повторный лог virusinfo_syscheck.zip.
Добрый день
выполнил всё по вашим инструкциям
вот лог
(извините, если что неправильно делаю - первый раз здесь)
ПС. после выполнения первого скрипта при перезагрузки появляется какое-то новое устройство
код экземпляра устройства ROOT\LEGACY_UZM3MTQ3\0000
Выполните скрипт:
Система перезагрузится. После этого - повторный лог.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); BC_DeleteSvc('wuauservWmiSchedule'); BC_DeleteSvc('wuauservBITS'); BC_DeleteSvc('WmiSchedule'); BC_DeleteSvc('WmiApSrvSwPrvLmHosts'); BC_DeleteSvc('winmgmtRemoteAccessScheduleWebClientShellHWDetection'); BC_DeleteSvc('winmgmtRemoteAccessScheduleWebClient'); BC_DeleteSvc('winmgmtRemoteAccessSchedule'); BC_DeleteSvc('winmgmtRemoteAccess'); BC_DeleteSvc('winmgmtNetDDEdsdm'); BC_DeleteSvc('winmgmtEventSystem'); BC_DeleteSvc('W32TimeRSVPwscsvc'); BC_DeleteSvc('W32TimeNVSvc'); BC_DeleteSvc('VSSDcomLaunch'); BC_DeleteSvc('upnphostNetDDEdsdmSysmonLogSwPrvLmHosts'); BC_DeleteSvc('upnphostNetDDEdsdm'); BC_DeleteSvc('TrkWksLmHosts'); BC_DeleteSvc('TrkWksDnscacheCiSvcRDSessMgr'); BC_DeleteSvc('TlntSvrsrserviceSENS'); BC_DeleteSvc('TlntSvrsrservice'); BC_DeleteSvc('TlntSvrNMIndexingService'); BC_DeleteSvc('TapiSrvPlugPlay'); BC_DeleteSvc('TapiSrvmnmsrvcNVSvc'); BC_DeleteSvc('SysmonLogSwPrvLmHosts'); BC_DeleteSvc('SwPrvLmHosts'); BC_DeleteSvc('SwPrvHidServRasAutoEventSystem'); BC_DeleteSvc('SSDPSRVose'); BC_DeleteSvc('srserviceSwPrvLmHostsATKKeyboardService'); BC_DeleteSvc('srserviceSwPrvLmHosts'); BC_DeleteSvc('SpoolerMSDTC'); BC_DeleteSvc('ShellHWDetectionRemoteAccess'); BC_DeleteSvc('SENSLmHostsSwPrvHidServRasAutoEventSystemNla'); BC_DeleteSvc('SENSLmHostsSwPrvHidServRasAutoEventSystem'); BC_DeleteSvc('SENSLmHostsNetDDEdsdm'); BC_DeleteSvc('SENSLmHostsAudioSrv'); BC_DeleteSvc('SENSLmHosts'); BC_DeleteSvc('RSVPwscsvc'); BC_DeleteSvc('RSVPwinmgmtRemoteAccessScheduleWebClient'); BC_DeleteSvc('RSVPHTTPFilterThemesNetlogon'); BC_DeleteSvc('RSVPHTTPFilterThemes'); BC_DeleteSvc('RSVPHTTPFilter'); BC_DeleteSvc('RasManSENSLmHostsAudioSrv'); BC_DeleteSvc('RasAutoEventSystem'); BC_DeleteSvc('ProtectedStoragemnmsrvcNVSvc'); BC_DeleteSvc('ProtectedStorageDhcp'); BC_DeleteSvc('PlugPlaysrserviceSwPrvLmHosts'); BC_DeleteSvc('NVSvcUMWdfRasManSENSLmHostsAudioSrv'); BC_DeleteSvc('NVSvcUMWdfMSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvc('NVSvcUMWdf'); BC_DeleteSvc('NOD32krndmserver'); BC_DeleteSvc('MSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvc('MSIServerRpcLocatorNtLmSsp'); BC_DeleteSvc('MSIServerRpcLocator'); BC_DeleteSvc('MSIServerMSIServerRpcLocator'); BC_DeleteSvc('mnmsrvcNVSvc'); BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_stateW32Time'); BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_statemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvc('lanmanserverW32Time'); BC_DeleteSvc('ImapiServiceRemoteRegistry'); BC_DeleteSvc('ImapiServicemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_statemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvc('HTTPFilterupnphost'); BC_DeleteSvc('HTTPFilterSchedule'); BC_DeleteSvc('HidServRasAutoEventSystem'); BC_DeleteSvc('EventlogPolicyAgent'); BC_DeleteSvc('ERSvcLmHosts'); BC_DeleteSvc('ERSvcaspnet_state'); BC_DeleteSvc('Dnscachewinmgmt'); BC_DeleteSvc('DnscacheSwPrvLmHosts'); BC_DeleteSvc('DnscacheCOMSysApp'); BC_DeleteSvc('DnscacheCiSvcRDSessMgr'); BC_DeleteSvc('dmserverseclogonSENSLmHostsAudioSrv'); BC_DeleteSvc('dmserverseclogon'); BC_DeleteSvc('COMSysAppRasAuto'); BC_DeleteSvc('ClipSrvSysmonLog'); BC_DeleteSvc('ClipSrvPolicyAgent'); BC_DeleteSvc('CiSvcRDSessMgr'); BC_DeleteSvc('Browserlanmanserver'); BC_DeleteSvc('AudioSrvClipSrv'); BC_DeleteSvc('aspnet_stateNetlogon'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
вот лог
а новое устройство продолжает появляться при перезагрузки
Устройство - это нормально. А вот службы ещё висят в логах...
Выполните вот этот скрипт и потом - повторный лог.
Добавлено через 33 секундыКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\System32\Drivers\Winnd68.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Isx74.sys',''); BC_DeleteSvc('Isx74'); BC_DeleteSvc('Winnd68'); BC_DeleteSvc('wuauservWmiSchedule'); BC_DeleteSvc('wuauservBITS'); BC_DeleteSvc('WmiSchedule'); BC_DeleteSvc('WmiApSrvSwPrvLmHosts'); BC_DeleteSvc('winmgmtRemoteAccessScheduleWebClientShellHWDetection'); BC_DeleteSvc('winmgmtRemoteAccessScheduleWebClient'); BC_DeleteSvc('winmgmtRemoteAccessSchedule'); BC_DeleteSvc('winmgmtRemoteAccess'); BC_DeleteSvc('winmgmtNetDDEdsdm'); BC_DeleteSvc('winmgmtEventSystem'); BC_DeleteSvc('W32TimeRSVPwscsvc'); BC_DeleteSvc('W32TimeNVSvc'); BC_DeleteSvc('VSSDcomLaunch'); BC_DeleteSvc('upnphostNetDDEdsdmSysmonLogSwPrvLmHosts'); BC_DeleteSvc('upnphostNetDDEdsdm'); BC_DeleteSvc('TrkWksLmHosts'); BC_DeleteSvc('TrkWksDnscacheCiSvcRDSessMgr'); BC_DeleteSvc('TlntSvrsrserviceSENS'); BC_DeleteSvc('TlntSvrsrservice'); BC_DeleteSvc('TlntSvrNMIndexingService'); BC_DeleteSvc('TapiSrvPlugPlay'); BC_DeleteSvc('TapiSrvmnmsrvcNVSvc'); BC_DeleteSvc('SysmonLogSwPrvLmHosts'); BC_DeleteSvc('SwPrvLmHosts'); BC_DeleteSvc('SwPrvHidServRasAutoEventSystem'); BC_DeleteSvc('SSDPSRVose'); BC_DeleteSvc('srserviceSwPrvLmHostsATKKeyboardService'); BC_DeleteSvc('srserviceSwPrvLmHosts'); BC_DeleteSvc('SpoolerMSDTC'); BC_DeleteSvc('ShellHWDetectionRemoteAccess'); BC_DeleteSvc('SENSLmHostsSwPrvHidServRasAutoEventSystemNla'); BC_DeleteSvc('SENSLmHostsSwPrvHidServRasAutoEventSystem'); BC_DeleteSvc('SENSLmHostsNetDDEdsdm'); BC_DeleteSvc('SENSLmHostsAudioSrv'); BC_DeleteSvc('SENSLmHosts'); BC_DeleteSvc('RSVPwscsvc'); BC_DeleteSvc('RSVPwinmgmtRemoteAccessScheduleWebClient'); BC_DeleteSvc('RSVPHTTPFilterThemesNetlogon'); BC_DeleteSvc('RSVPHTTPFilterThemes'); BC_DeleteSvc('RSVPHTTPFilter'); BC_DeleteSvc('RasManSENSLmHostsAudioSrv'); BC_DeleteSvc('RasAutoEventSystem'); BC_DeleteSvc('ProtectedStoragemnmsrvcNVSvc'); BC_DeleteSvc('ProtectedStorageDhcp'); BC_DeleteSvc('PlugPlaysrserviceSwPrvLmHosts'); BC_DeleteSvc('NVSvcUMWdfRasManSENSLmHostsAudioSrv'); BC_DeleteSvc('NVSvcUMWdfMSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvc('NVSvcUMWdf'); BC_DeleteSvc('NOD32krndmserver'); BC_DeleteSvc('MSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvc('MSIServerRpcLocatorNtLmSsp'); BC_DeleteSvc('MSIServerRpcLocator'); BC_DeleteSvc('MSIServerMSIServerRpcLocator'); BC_DeleteSvc('mnmsrvcNVSvc'); BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_stateW32Time'); BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_statemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvc('lanmanserverW32Time'); BC_DeleteSvc('ImapiServiceRemoteRegistry'); BC_DeleteSvc('ImapiServicemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_statemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvc('HTTPFilterupnphost'); BC_DeleteSvc('HTTPFilterSchedule'); BC_DeleteSvc('HidServRasAutoEventSystem'); BC_DeleteSvc('EventlogPolicyAgent'); BC_DeleteSvc('ERSvcLmHosts'); BC_DeleteSvc('ERSvcaspnet_state'); BC_DeleteSvc('Dnscachewinmgmt'); BC_DeleteSvc('DnscacheSwPrvLmHosts'); BC_DeleteSvc('DnscacheCOMSysApp'); BC_DeleteSvc('DnscacheCiSvcRDSessMgr'); BC_DeleteSvc('dmserverseclogonSENSLmHostsAudioSrv'); BC_DeleteSvc('dmserverseclogon'); BC_DeleteSvc('COMSysAppRasAuto'); BC_DeleteSvc('ClipSrvSysmonLog'); BC_DeleteSvc('ClipSrvPolicyAgent'); BC_DeleteSvc('CiSvcRDSessMgr'); BC_DeleteSvc('Browserlanmanserver'); BC_DeleteSvc('AudioSrvClipSrv'); BC_DeleteSvc('aspnet_stateNetlogon'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
И карантин выслать не забудьте.
Последний раз редактировалось gjf; 02.11.2009 в 14:11. Причина: Добавлено
вот логи
а папка с карантином пуста.
есть папка та, которую я уже высылал в первый раз (WlCtrl32.dll). нового нет
(AVZ в конце выполнения лога написало что-то красным, типа невозможно добавить в карантин и пошла перезагрузка)
Выполните такой скрипт:
Система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\System32\Drivers\Winnd68.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Isx74.sys',''); BC_DeleteSvc('Isx74'); BC_DeleteSvc('Winnd68'); BC_DeleteSvc('wuauservWmiSchedule'); BC_DeleteSvc('wuauservBITS'); BC_DeleteSvc('WmiSchedule'); BC_DeleteSvc('WmiApSrvSwPrvLmHosts'); BC_DeleteSvc('winmgmtRemoteAccessScheduleWebClientShellHWDetection'); BC_DeleteSvc('winmgmtRemoteAccessScheduleWebClient'); BC_DeleteSvc('winmgmtRemoteAccessSchedule'); BC_DeleteSvc('winmgmtRemoteAccess'); BC_DeleteSvc('winmgmtNetDDEdsdm'); BC_DeleteSvc('winmgmtEventSystem'); BC_DeleteSvc('W32TimeRSVPwscsvc'); BC_DeleteSvc('W32TimeNVSvc'); BC_DeleteSvc('VSSDcomLaunch'); BC_DeleteSvc('upnphostNetDDEdsdmSysmonLogSwPrvLmHosts'); BC_DeleteSvc('upnphostNetDDEdsdm'); BC_DeleteSvc('TrkWksLmHosts'); BC_DeleteSvc('TrkWksDnscacheCiSvcRDSessMgr'); BC_DeleteSvc('TlntSvrsrserviceSENS'); BC_DeleteSvc('TlntSvrsrservice'); BC_DeleteSvc('TlntSvrNMIndexingService'); BC_DeleteSvc('TapiSrvPlugPlay'); BC_DeleteSvc('TapiSrvmnmsrvcNVSvc'); BC_DeleteSvc('SysmonLogSwPrvLmHosts'); BC_DeleteSvc('SwPrvLmHosts'); BC_DeleteSvc('SwPrvHidServRasAutoEventSystem'); BC_DeleteSvc('SSDPSRVose'); BC_DeleteSvc('srserviceSwPrvLmHostsATKKeyboardService'); BC_DeleteSvc('srserviceSwPrvLmHosts'); BC_DeleteSvc('SpoolerMSDTC'); BC_DeleteSvc('ShellHWDetectionRemoteAccess'); BC_DeleteSvc('SENSLmHostsSwPrvHidServRasAutoEventSystemNla'); BC_DeleteSvc('SENSLmHostsSwPrvHidServRasAutoEventSystem'); BC_DeleteSvc('SENSLmHostsNetDDEdsdm'); BC_DeleteSvc('SENSLmHostsAudioSrv'); BC_DeleteSvc('SENSLmHosts'); BC_DeleteSvc('RSVPwscsvc'); BC_DeleteSvc('RSVPwinmgmtRemoteAccessScheduleWebClient'); BC_DeleteSvc('RSVPHTTPFilterThemesNetlogon'); BC_DeleteSvc('RSVPHTTPFilterThemes'); BC_DeleteSvc('RSVPHTTPFilter'); BC_DeleteSvc('RasManSENSLmHostsAudioSrv'); BC_DeleteSvc('RasAutoEventSystem'); BC_DeleteSvc('ProtectedStoragemnmsrvcNVSvc'); BC_DeleteSvc('ProtectedStorageDhcp'); BC_DeleteSvc('PlugPlaysrserviceSwPrvLmHosts'); BC_DeleteSvc('NVSvcUMWdfRasManSENSLmHostsAudioSrv'); BC_DeleteSvc('NVSvcUMWdfMSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvc('NVSvcUMWdf'); BC_DeleteSvc('NOD32krndmserver'); BC_DeleteSvc('MSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvc('MSIServerRpcLocatorNtLmSsp'); BC_DeleteSvc('MSIServerRpcLocator'); BC_DeleteSvc('MSIServerMSIServerRpcLocator'); BC_DeleteSvc('mnmsrvcNVSvc'); BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_stateW32Time'); BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_statemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvc('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvc('lanmanserverW32Time'); BC_DeleteSvc('ImapiServiceRemoteRegistry'); BC_DeleteSvc('ImapiServicemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_statemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvc('HTTPFilterupnphost'); BC_DeleteSvc('HTTPFilterSchedule'); BC_DeleteSvc('HidServRasAutoEventSystem'); BC_DeleteSvc('EventlogPolicyAgent'); BC_DeleteSvc('ERSvcLmHosts'); BC_DeleteSvc('ERSvcaspnet_state'); BC_DeleteSvc('Dnscachewinmgmt'); BC_DeleteSvc('DnscacheSwPrvLmHosts'); BC_DeleteSvc('DnscacheCOMSysApp'); BC_DeleteSvc('DnscacheCiSvcRDSessMgr'); BC_DeleteSvc('dmserverseclogonSENSLmHostsAudioSrv'); BC_DeleteSvc('dmserverseclogon'); BC_DeleteSvc('COMSysAppRasAuto'); BC_DeleteSvc('ClipSrvSysmonLog'); BC_DeleteSvc('ClipSrvPolicyAgent'); BC_DeleteSvc('CiSvcRDSessMgr'); BC_DeleteSvc('Browserlanmanserver'); BC_DeleteSvc('AudioSrvClipSrv'); BC_DeleteSvc('aspnet_stateNetlogon'); BC_ImportAll; ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); AddToLog('Файлы на удаление' +GETSERVICEFILE('AppMgmt')); SaveLog(GetAVZDirectory+'avz_log.txt'); BC_Activate; RebootWindows(true); end.
Сделайте новый лог virusinfo_syscheck.zip, а также приложите файлы boot_clr.log и avz_log.txt из папки AVZ.
Добрый день
неделю был в командировке, поэтому не смог раньше написать
скрипт выполнил. правда файла boot_clr.log в папке не нашел
есть только avz_log.txt
очень медленно стал работать интернет. страница грузиться минуты 2. может ли это быть связано с уcтановкой SP3 или это вирус?
Выполните скрипт:
Система перезагрузится. После перезагрузки в защищённом режиме выполните полное сканирование системы с помощью свежей версии CureIt или AVPTool. Что найдёт - лечить, при невозможности лечения - удалять. Обо всём найденном и вылеченном сообщите в этой ветке!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\System32\Drivers\Winnd68.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Isx74.sys'); BC_DeleteSvcReg('Isx74'); BC_DeleteSvcReg('Winnd68'); BC_DeleteSvcReg('wuauservWmiSchedule'); BC_DeleteSvcReg('wuauservBITS'); BC_DeleteSvcReg('WmiSchedule'); BC_DeleteSvcReg('WmiApSrvSwPrvLmHosts'); BC_DeleteSvcReg('winmgmtRemoteAccessScheduleWebClientShellHWDetection'); BC_DeleteSvcReg('winmgmtRemoteAccessScheduleWebClient'); BC_DeleteSvcReg('winmgmtRemoteAccessSchedule'); BC_DeleteSvcReg('winmgmtRemoteAccess'); BC_DeleteSvcReg('winmgmtNetDDEdsdm'); BC_DeleteSvcReg('winmgmtEventSystem'); BC_DeleteSvcReg('W32TimeRSVPwscsvc'); BC_DeleteSvcReg('W32TimeNVSvc'); BC_DeleteSvcReg('VSSDcomLaunch'); BC_DeleteSvcReg('upnphostNetDDEdsdmSysmonLogSwPrvLmHosts'); BC_DeleteSvcReg('upnphostNetDDEdsdm'); BC_DeleteSvcReg('TrkWksLmHosts'); BC_DeleteSvcReg('TrkWksDnscacheCiSvcRDSessMgr'); BC_DeleteSvcReg('TlntSvrsrserviceSENS'); BC_DeleteSvcReg('TlntSvrsrservice'); BC_DeleteSvcReg('TlntSvrNMIndexingService'); BC_DeleteSvcReg('TapiSrvPlugPlay'); BC_DeleteSvcReg('TapiSrvmnmsrvcNVSvc'); BC_DeleteSvcReg('SysmonLogSwPrvLmHosts'); BC_DeleteSvcReg('SwPrvLmHosts'); BC_DeleteSvcReg('SwPrvHidServRasAutoEventSystem'); BC_DeleteSvcReg('SSDPSRVose'); BC_DeleteSvcReg('srserviceSwPrvLmHostsATKKeyboardService'); BC_DeleteSvcReg('srserviceSwPrvLmHosts'); BC_DeleteSvcReg('SpoolerMSDTC'); BC_DeleteSvcReg('ShellHWDetectionRemoteAccess'); BC_DeleteSvcReg('SENSLmHostsSwPrvHidServRasAutoEventSystemNla'); BC_DeleteSvcReg('SENSLmHostsSwPrvHidServRasAutoEventSystem'); BC_DeleteSvcReg('SENSLmHostsNetDDEdsdm'); BC_DeleteSvcReg('SENSLmHostsAudioSrv'); BC_DeleteSvcReg('SENSLmHosts'); BC_DeleteSvcReg('RSVPwscsvc'); BC_DeleteSvcReg('RSVPwinmgmtRemoteAccessScheduleWebClient'); BC_DeleteSvcReg('RSVPHTTPFilterThemesNetlogon'); BC_DeleteSvcReg('RSVPHTTPFilterThemes'); BC_DeleteSvcReg('RSVPHTTPFilter'); BC_DeleteSvcReg('RasManSENSLmHostsAudioSrv'); BC_DeleteSvcReg('RasAutoEventSystem'); BC_DeleteSvcReg('ProtectedStoragemnmsrvcNVSvc'); BC_DeleteSvcReg('ProtectedStorageDhcp'); BC_DeleteSvcReg('PlugPlaysrserviceSwPrvLmHosts'); BC_DeleteSvcReg('NVSvcUMWdfRasManSENSLmHostsAudioSrv'); BC_DeleteSvcReg('NVSvcUMWdfMSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvcReg('NVSvcUMWdf'); BC_DeleteSvcReg('NOD32krndmserver'); BC_DeleteSvcReg('MSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvcReg('MSIServerRpcLocatorNtLmSsp'); BC_DeleteSvcReg('MSIServerRpcLocator'); BC_DeleteSvcReg('MSIServerMSIServerRpcLocator'); BC_DeleteSvcReg('mnmsrvcNVSvc'); BC_DeleteSvcReg('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_stateW32Time'); BC_DeleteSvcReg('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_statemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvcReg('mnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvcReg('lanmanserverW32Time'); BC_DeleteSvcReg('ImapiServiceRemoteRegistry'); BC_DeleteSvcReg('ImapiServicemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_statemnmsrvcMSIServerRpcLocatorNtLmSspERSvcaspnet_state'); BC_DeleteSvcReg('HTTPFilterupnphost'); BC_DeleteSvcReg('HTTPFilterSchedule'); BC_DeleteSvcReg('HidServRasAutoEventSystem'); BC_DeleteSvcReg('EventlogPolicyAgent'); BC_DeleteSvcReg('ERSvcLmHosts'); BC_DeleteSvcReg('ERSvcaspnet_state'); BC_DeleteSvcReg('Dnscachewinmgmt'); BC_DeleteSvcReg('DnscacheSwPrvLmHosts'); BC_DeleteSvcReg('DnscacheCOMSysApp'); BC_DeleteSvcReg('DnscacheCiSvcRDSessMgr'); BC_DeleteSvcReg('dmserverseclogonSENSLmHostsAudioSrv'); BC_DeleteSvcReg('dmserverseclogon'); BC_DeleteSvcReg('COMSysAppRasAuto'); BC_DeleteSvcReg('ClipSrvSysmonLog'); BC_DeleteSvcReg('ClipSrvPolicyAgent'); BC_DeleteSvcReg('CiSvcRDSessMgr'); BC_DeleteSvcReg('Browserlanmanserver'); BC_DeleteSvcReg('AudioSrvClipSrv'); BC_DeleteSvcReg('aspnet_stateNetlogon'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После этого - сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
cure it ничего не нашел
в AVZ выполнил 1 стандартный скрипт
вот то, что выделилось красным
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 00093D84
Disable callback - уже нейтирализованы
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=2164, имя = "verclsid.exe", полное имя = "\Device\HarddiskVolume1\WINDOWS\system32\verclsid .exe"
>> обнаружена подмена PID (текущий PID=2956, реальный = 2164)
>> обнаружена подмена имени, новое имя = "avz.exe"
может в этом ничего опасного и нет
извините, за моё нубство
очень хотелось бы вернуть работоспособность интернета
Скачайте LiveCD, запишите образ на диск.
Просканируйте ПК. После сделайте новые логи и прикрепите к новому сообщению.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) antonello, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
