Вроде бы был Кидо, чищу остатки, есть руткит
Printable View
Вроде бы был Кидо, чищу остатки, есть руткит
В AVZ выполните скрипт:
[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\lzqjisks.dll','');
QuarantineFile('Ras910cw.sys','');
QuarantineFile('C:\WINDOWS\system32\0EBD7.tmp','');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\system32\0EBD7.tmp');
DeleteFile('C:\WINDOWS\system32\lzqjisks.dll');
BC_ImportAll;
ExecuteSysClean;
AddToLog(inttostr(BC_ServiceKill('ghuai')) );
AddToLog(inttostr(BC_ServiceKill('qxpfug')) );
SaveLog(GetAVZDirectory+'avz_log.txt');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Логи повторите
Файл по красной ссылке прикрепить не могу
пишет:
[B]Результат загрузки[/B]
[B]Ошибка загрузки. Данный файл уже был загружен[/B]
Да и такое ощущение что ЗИП архив получился битый, или же формат какой то другой сейчас используется
Поищите файл [B]Ras910cw.sys[/B] и добавьте его в карантин вручную.
[QUOTE=миднайт;585541]Поищите файл [B]Ras910cw.sys[/B] и добавьте его в карантин вручную.[/QUOTE]
к сожалению поиск ничего не дал( не находит этого файла, может он удалён уже?
[size="1"][color="#666686"][B][I]Добавлено через 11 часов 22 минуты[/I][/B][/color][/size]
или же это его не реальное имя
В хайджеке пофиксите:
[code]
O3 - Toolbar: duden.de Toolbar - {92F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
[/code]
Выполните скрипт в AVZ:
[CODE]begin
SetAVZGuardStatus(True);
DeleteService('Ras910cw');
DeleteFile('Ras910cw.sys');
ExecuteSysClean;
BC_DeleteSvc('Ras910cw');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите лог virusinfo_syscheck.zip
Всё сделал, только компьютер при перезагрузке из скрипта перезагружается не мгновенно, а очень долго ждёт, как будто ничего и не происходит и просит нажать на кнопку "ОК" (как обычно после скрипта) и лишь потом спустя время нормально перезагружается.
Обновить Internet Explorer, Adobe\Acrobat, поставьте 3 сервис пак (возможно потребуется активация)+ все последующие обновления безопасности.
nod32 активен, значит уберите из системы BitDefender8 и DrWeb . Более ничего плохого не нахожу. Проблема решена?
[QUOTE=миднайт;586151]Обновить Internet Explorer, Adobe\Acrobat, поставьте 3 сервис пак (возможно потребуется активация)+ все последующие обновления безопасности.
nod32 активен, значит уберите из системы BitDefender8 и DrWeb . Более ничего плохого не нахожу. Проблема решена?[/QUOTE]
Спасибо! Да! решена