Всех с праздниками!Имеем следующую проблему :eKAV пришлите СМС на 4460,я подобрал код воспользовавшись http://virusinfo.info/showthread.php?t=65898
Сейчас заметно что подтормаживает,проверка AVPTool выявила с десяток троянов,но подтормаживание осталось иногда при попытке проверить каким-либо антивирусом выскакивает синий экран,спасает только перезагрузка.Логи прилагаю
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
Вот это выполните
Сделайте новые логи по правилам + попробуйте сделать лог gmer. Если не запускается, то переименуйте его, например, в game.pif.
C:\Program Files\dmkqsh\ - что это?
1.Карантин отправил
2.Сходил по ссылке,все проверил изменений не нашел,но на всякий пожарный выполнил скрипт
3.С логом gmer по прежнему засада(он стартует ,начинает работать и вылетает с ошибкой ) Обратил внимание,что после этого перестает работать инет,пока не перезагрузишся.
4.C:\Program Files\dmkqsh\ -- не знаю точно,возможно это какая то программа от WIS или EPC или их оболочки.
С логом gmer по прежнему засада(он стартует ,начинает работать и вылетает с ошибкой ) Обратил внимание,что после этого перестает работать инет,пока не перезагрузишся и еще перестает работать панель ПУСК.
Что можно предпринять?
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети. - Антивирус и Файрвол.
- Выполните скрипт AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
AddToLog('Удаление скрытого сервиса '+'aowwkyi'+' - Результат:'+inttostr(BC_ServiceKill('aowwkyi')) );
AddToLog('Удаление скрытого сервиса '+'cbbuxxetc'+' - Результат:'+inttostr(BC_ServiceKill('cbbuxxetc')) );
AddToLog('Удаление скрытого сервиса '+'crivktuu'+' - Результат:'+inttostr(BC_ServiceKill('crivktuu')) );
AddToLog('Удаление скрытого сервиса '+'flofay'+' - Результат:'+inttostr(BC_ServiceKill('flofay')) );
AddToLog('Удаление скрытого сервиса '+'pemmcqm'+' - Результат:'+inttostr(BC_ServiceKill('pemmcqm')) );
AddToLog('Удаление скрытого сервиса '+'twgwzadag'+' - Результат:'+inttostr(BC_ServiceKill('twgwzadag')) );
AddToLog('Удаление скрытого сервиса '+'vrrti'+' - Результат:'+inttostr(BC_ServiceKill('vrrti')) );
QuarantineFile('C:\Program Files\dmkqsh\hmctsysguard.exe','');
QuarantineFile('%SystenRoot%\System32\netevent.dll','');
QuarantineFile('C:\Windows\System32\netevent.dll','');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса}
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину. - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!! - Обновите базы AVZ!!!
- Сделайте повторные логи согласно Правил (Диагностика) virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Запакуйте в отдельный zip-архив всё содержимое папки C:\Program Files\dmkqsh\
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин и содержимое папку C:\Program Files\dmkqsh\ согласно Правил (Приложение 3).
- Прикрепите новые логи, а также файл avz_log.txt из папки AVZ к новому сообщению в этой ветке.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети. - Антивирус и Файрвол.
- Выполните скрипт AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
AddToLog('Удаление скрытого сервиса '+'aowwkyi'+' - Результат:'+inttostr(BC_ServiceKill('aowwkyi')) );
AddToLog('Удаление скрытого сервиса '+'cbbuxxetc'+' - Результат:'+inttostr(BC_ServiceKill('cbbuxxetc')) );
AddToLog('Удаление скрытого сервиса '+'crivktuu'+' - Результат:'+inttostr(BC_ServiceKill('crivktuu')) );
AddToLog('Удаление скрытого сервиса '+'flofay'+' - Результат:'+inttostr(BC_ServiceKill('flofay')) );
AddToLog('Удаление скрытого сервиса '+'pemmcqm'+' - Результат:'+inttostr(BC_ServiceKill('pemmcqm')) );
AddToLog('Удаление скрытого сервиса '+'twgwzadag'+' - Результат:'+inttostr(BC_ServiceKill('twgwzadag')) );
AddToLog('Удаление скрытого сервиса '+'vrrti'+' - Результат:'+inttostr(BC_ServiceKill('vrrti')) );
QuarantineFile('C:\Program Files\dmkqsh\hmctsysguard.exe','');
QuarantineFile('%SystenRoot%\System32\netevent.dll','');
QuarantineFile('C:\Windows\System32\netevent.dll','');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса}
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину. - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!! - Обновите базы AVZ!!!
- Сделайте повторные логи согласно Правил (Диагностика) virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Запакуйте в отдельный zip-архив всё содержимое папки C:\Program Files\dmkqsh\
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин и содержимое папку C:\Program Files\dmkqsh\ согласно Правил (Приложение 3).
- Прикрепите новые логи, а также файл avz_log.txt из папки AVZ к новому сообщению в этой ветке.
Все сделал,но папку C:\Program Files\dmkqsh\ не нашел нигде,галочку поставил показывать скрытые,но все равно нет и все.
логи прилагаю.
ЗЫ.Гмер по прежнему не делается.
Да, не добили одного. Повторите действия выше с таким скриптом:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
AddToLog('Удаление скрытого сервиса '+'ddtvz'+' - Результат:'+inttostr(BC_ServiceKill('ddtvz')) );
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.
Нет с GMER все тоже самое,при попытке с делать лог он работает пару-тройку секунд и вылетает с ошибкой "обратилась к памяти по адресу,память не может быть red"что-то в этом роде.После этого экплорер и опера впадают в кому и пропадает инет,спасает перезагрузка с кнопки.
Понятно. Возможно, что-то ещё сидит. Попробуем другим инструментом. Сделайте лог с помощью Rootkit Unhooker. Также, воспользуйтесь этой утилитой. После запуска в папке появится текстовый файл - пришлите его сюда.
Cделано.Я тут еще поизвращался,так вот в безопасном режиме rk remover и Rootkit Unhooker не стартуют,сразу ошибка какого-то драйвера.
В обычном режиме при запуске rk remover выскакивает синий экран(такой и раньше выскакивал при удалении этого вируса) и требуется перезагрузка с кнопки.
Уважаемый(ая) avtohlam, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: