После проведения проверок avz-ом в протоколе указано подозрение на файлы
c:\windows\system32\cmdow.exe
c:\windows\system32\drivers\protect.sys
В протоколе подозрительные файлы.
После проведения проверок avz-ом в протоколе указано подозрение на файлы
c:\windows\system32\cmdow.exe
c:\windows\system32\drivers\protect.sys
Последний раз редактировалось JaneYa; 09.10.2010 в 09:34.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В AVZ выполните скрипт:
Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\protect.sys',''); QuarantineFile('C:\Documents and Settings\ЗАУЧ\Application Data\Microsoft\zurijym.exe',''); QuarantineFile('C:\WINDOWS\system32\cmdow.exe',''); DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}'); QuarantineFile('C:\WINDOWS\system32\MRS.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys',''); QuarantineFile('C:\Documents and Settings\ЗАУЧ\Application Data\Microsoft\ryguj.exe',''); QuarantineFile('C:\DOCUME~1\FA43~1\LOCALS~1\Temp\wX45r71Z.sys',''); QuarantineFile('c:\docume~1\fa43~1\locals~1\temp\{361698c2-b14f-4589-bb90-75c449978499}\mrs.exe',''); TerminateProcessByName('c:\docume~1\fa43~1\locals~1\temp\{361698c2-b14f-4589-bb90-75c449978499}\mrs.exe'); DeleteFile('c:\docume~1\fa43~1\locals~1\temp\{361698c2-b14f-4589-bb90-75c449978499}\mrs.exe'); DeleteFile('C:\DOCUME~1\FA43~1\LOCALS~1\Temp\wX45r71Z.sys'); DeleteFile('C:\Documents and Settings\ЗАУЧ\Application Data\Microsoft\ryguj.exe'); BC_DeleteSvc('e6b8ebkumooiykia'); BC_DeleteSvc('yyeeci4i1yiepuo'); DeleteFile('C:\WINDOWS\system32\drivers\protect.sys'); BC_DeleteSvc('protect'); DeleteFile('C:\WINDOWS\system32\MRS.exe'); DeleteFile('C:\WINDOWS\system32\cmdow.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\protect.sys'); DeleteFile('C:\Documents and Settings\ЗАУЧ\Application Data\Microsoft\zurijym.exe'); BC_ImportAll; ExecuteSysClean; AddToLog(inttostr(BC_ServiceKill('jewzlkcwo')) ); SaveLog(GetAVZDirectory+'avz_log.txt'); BC_Activate; RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); SetAVZPMStatus(True); RebootWindows(true); end.
После перезагрузки
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте новые логи + в дополнение сделайте лог Gmer
Paula rhei.
Поддержать проект можно тут
Выполнил.
После скрипта авз пропал гаджет, - он был в виде кольца, по которому были распределены иконки, в том числе "Мой компьютер", и пропал драйвер какого-то устройства, - в диспетчере появилось под желтым вопросом "Другие устройства - Неизвестное устройство".
Последний раз редактировалось JaneYa; 09.10.2010 в 09:34.
В HiJackThis пофиксите:
Неизвестное устройство в диспетчере устройств удалите. В логах чисто. Скрипт отработал на славу.Код:O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
Гаджет восстановите, если он так уж нужен. Если честно могу только гадать что это за программа, которая по кольцу распределяет иконки.
Paula rhei.
Поддержать проект можно тут
Благодарю, миднайт!
Всё ОК
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows.o
Уважаемый(ая) JaneYa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
