Есть подозрения, логи в аттаче.
Есть подозрения, логи в аттаче.
Отключите восстановление системы!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:procedure WhatService(AServiceName : string); var dllname, servicekey : string; begin servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName; RegKeyResetSecurity( 'HKLM', servicekey); RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters'); AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description')); AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName')); AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath')); dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll'); AddToLog('ServiceDll: '+dllname); QuarantineFile(dllname,''); end; begin SetAVZGuardStatus(True); WhatService('sxijdztgr'); QuarantineFile('G:\autorun.inf',''); BC_ImportAll; BC_Activate; SaveLog(GetAVZDirectory+'sxijdztgr.log'); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=97315).
Прикрепите файл sxijdztgr.log из папки с AVZ.
I am not young enough to know everything...
Карантин пустой.
лог:
Description: Supports local and remote debugging for Visual Studio and script debuggers. If this service is stopped, the debuggers will not function properly.
DisplayName: Boot System
ImagePath: %SystemRoot%\system32\svchost.exe -k netsvcs
ServiceDll: C:\WINDOWS\system32\yshmp.dll
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\yshmp.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\yshmp.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (G:\autorun.inf)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (G:\autorun.inf)
Карантин с использованием прямого чтения - ошибка
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\yshmp.dll'); DeleteFile('G:\autorun.inf'); BC_ImportALL; ExecuteSysClean; BC_ServiceKill('sxijdztgr'); BC_Activate; RebootWindows(true); end.
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).
I am not young enough to know everything...
Скрипт выполнил. Файлы ('C:\WINDOWS\System32\yshmp.dll') и ('G:\autorun.inf') в системе отсутствуют.
Постоянные запуски проверки chkdsk прошли после выполнения в консоли команды chkntfs /x C: D:
Гоняю сегодняшним CureIt'ом. Всё чисто
В логе чисто.
I am not young enough to know everything...
Спасибо! Проблема решена. Странно что в базе чистых файлов не оказалосьC:\WINDOWS\system32\DRIVERS\ehdrv.sys
(Подозрение на RootKit Перехватчик KernelMode)
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.- Проведите процедуру, которая описана в первом сообщении тут для пополнения базы.Спасибо! Проблема решена. Странно что в базе чистых файлов не оказалось
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Уважаемый(ая) ragalt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.