Вообщем вот виновник.
Лог GMER сделать не могу, находит 2 скрытых процесса и при нажатии полной проверки, уходит в BSOD
Вообщем вот виновник.
Лог GMER сделать не могу, находит 2 скрытых процесса и при нажатии полной проверки, уходит в BSOD
Последний раз редактировалось ggR; 13.10.2010 в 19:15.
Внимание! Запускаем AVZ правой кнопкой мыши -> От имени Администратора.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\system32\syspanel32.exe',''); QuarantineFile('C:\Windows\TEMP\7280166c495b',''); DeleteFile('C:\Windows\TEMP\7280166c495b'); DeleteFile('C:\Windows\system32\syspanel32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('WPRO_40_1340'); BC_DeleteSvc('ba1793dc0b94cf76'); BC_ServiceKill('prpfashi'); BC_ServiceKill('wwkndirp'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=89780).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Странно, в карантине пусто
Последний раз редактировалось ggR; 13.10.2010 в 19:15.
С карантином это мой недосмотр.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Windows\System32\Drivers\wwkndirp.sys',''); QuarantineFile('C:\Windows\System32\Drivers\prpfashi.sys',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Если что-то попадет, пришлите по правилам.
I am not young enough to know everything...
Карантин выслал.
GMER так и находит 2 сервиса. И работа завершается после начала полного сканирования.
Все что удалось
Последний раз редактировалось ggR; 13.10.2010 в 19:15.
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по prpfashi и выберите "Turn Run Off", потом подтвердите перезагрузку. Повторить для wwkndirp
Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\system32\drivers\lodkdffl.sys',''); QuarantineFile('C:\Windows\System32\Drivers\wwkndirp.sys',''); QuarantineFile('C:\Windows\System32\Drivers\prpfashi.sys',''); DeleteFile('C:\Windows\System32\Drivers\prpfashi.sys'); DeleteFile('C:\Windows\System32\Drivers\wwkndirp.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Если вас не затруднит, выложите альтернативные ссылки на скачку. У меня скачивается ни установочный пакет, ни портабл версия
Добавлено через 1 час 27 минут
нашел..
Последний раз редактировалось ggR; 13.10.2010 в 11:36. Причина: Добавлено
логи
GMER теперь не показывает левые сервисы
Последний раз редактировалось ggR; 13.10.2010 в 19:15.
Еще разок
В меню (OSAM) драйверов правой кнопкой по aujasnkj, prpfashi, wwkndirp и выберите "Turn Run Off". Подтвердите перезагрузку.
Закройте все программы, выполните скрипт в AVZ (перед этим скачайте актуальную версию AVZ!):После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\Drivers\wwkndirp.sys',''); QuarantineFile('C:\Windows\System32\Drivers\ngbhjph.sys',''); QuarantineFile('C:\Windows\TEMP\aujasnkj.sys',''); DeleteService('ngbhjph'); DeleteFile('C:\Windows\TEMP\aujasnkj.sys'); DeleteFile('C:\Windows\System32\Drivers\ngbhjph.sys'); DeleteFile('C:\Windows\System32\Drivers\wwkndirp.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Лог работы OSAM прикрепите к своему сообщению
Сделайте новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip
карантин пустой
Долечился сам, можно закрывать
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) ggR, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.