Прогонял на мах настройках Cureit и AVP mp4 и avz, файлы находятся - удаляются, но...подозрения в avz остаются...
в реестре сидят "пути", пробовал ручками от dll к exe и от обратного, при перезагрузке вновь все появляется...
Обидно...
Printable View
Прогонял на мах настройках Cureit и AVP mp4 и avz, файлы находятся - удаляются, но...подозрения в avz остаются...
в реестре сидят "пути", пробовал ручками от dll к exe и от обратного, при перезагрузке вновь все появляется...
Обидно...
Пофиксите в HijackThis:
[code]
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: URLHooker2 Class - {93935F7F-9C88-42F8-8445-95251D27FABC} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;
begin
SetAVZGuardStatus(True);
WhatService('uznxfzm');
BC_ImportAll;
BC_Activate;
SaveLog(GetAVZDirectory+'uznxfzm.log');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=94962[/url]).
Прикрепите к теме файл [I]uznxfzm.log[/I] из папки с AVZ.
По поводу [QUOTE]Скрытые *.dll и *.exe в автозапуске[/QUOTE]
При создании протокола исследования системы AVZ неправильно парсит параметр реестра [I]AppInit_DLLs[/I], и из-за этого в разделе Автозапуск появляются странные dll и exe. На самом деле там ничего плохого нет:
[CODE]O20 - AppInit_DLLs: D:\PROGRA~1\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\kloehk.dll,D:\PROGRA~1\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\adialhk.dll[/CODE]
Удалять не нужно, это компоненты антивируса Касперского.
Пофиксил HijackThis...
загрузил Quarantine.zip
Выполните скрипт в AVZ:
[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
BC_ServiceKill('uznxfzm');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Вот
Сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
Сделал
- Сохраните текст ниже как [B][COLOR="DeepSkyBlue"]1.bat[/COLOR][/B] в ту же папку, где находится [B][COLOR="Blue"]rqfq3pgl.exe (GMER)[/COLOR][/B] и запустите этот батник(1.bat):
[CODE]
rqfq3pgl.exe -del service uznxfzm
rqfq3pgl.exe -del file "D:\Windows\system32\jvnqbtl.dll"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0010\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0011\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0012\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0013\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0014\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0024\Services\uznxfzm"
rqfq3pgl.exe -reboot[/CODE]
Компьютер перезагрузится.
После перезагрузки:
- Сделайте новый лог [URL="http://virusinfo.info/showthread.php?t=40118"]Gmer[/URL]
сделал
- Сохраните текст ниже как [B][COLOR="DeepSkyBlue"]1.bat[/COLOR][/B] в ту же папку, где находится [B][COLOR="Blue"]rqfq3pgl.exe (GMER)[/COLOR][/B] и запустите этот батник(1.bat):
[CODE]
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0010\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0011\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0012\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0013\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0014\Services\uznxfzm"
rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0024\Services\uznxfzm"
rqfq3pgl.exe -reboot[/CODE]
Компьютер перезагрузится.
После перезагрузки:
- Сделайте новый лог [URL="http://virusinfo.info/showthread.php?t=40118"]Gmer[/URL]
Батник постоянно ругался, что такой "строки" не существует и поэтому удалить невозможно...
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet10\Services\uznxfzm');
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet10\Services\uznxfzm\Parameters');
RegKeyDel('HKLM','SYSTEM\ControlSet10\Services\uznxfzm\Parameters');
RegKeyDel('HKLM','SYSTEM\ControlSet10\Services\uznxfzm');
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet11\Services\uznxfzm');
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet11\Services\uznxfzm\Parameters');
RegKeyDel('HKLM','SYSTEM\ControlSet11\Services\uznxfzm\Parameters');
RegKeyDel('HKLM','SYSTEM\ControlSet11\Services\uznxfzm');
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet12\Services\uznxfzm');
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet12\Services\uznxfzm\Parameters');
RegKeyDel('HKLM','SYSTEM\ControlSet12\Services\uznxfzm\Parameters');
RegKeyDel('HKLM','SYSTEM\ControlSet12\Services\uznxfzm');
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet13\Services\uznxfzm');
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet13\Services\uznxfzm\Parameters');
RegKeyDel('HKLM','SYSTEM\ControlSet13\Services\uznxfzm\Parameters');
RegKeyDel('HKLM','SYSTEM\ControlSet13\Services\uznxfzm');
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet14\Services\uznxfzm');
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet14\Services\uznxfzm\Parameters');
RegKeyDel('HKLM','SYSTEM\ControlSet14\Services\uznxfzm\Parameters');
RegKeyDel('HKLM','SYSTEM\ControlSet14\Services\uznxfzm');
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet24\Services\uznxfzm');
RegKeyResetSecurity('HKLM','SYSTEM\ControlSet24\Services\uznxfzm\Parameters');
RegKeyDel('HKLM','SYSTEM\ControlSet24\Services\uznxfzm\Parameters');
RegKeyDel('HKLM','SYSTEM\ControlSet24\Services\uznxfzm');
BC_ImportALL;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"][COLOR="Blue"][B]Gmer[/B][/COLOR][/URL]
прошу...
?
Активной заразы нет, осталось несколько следов в реестре, которые никак не хотят удаляться. В принципе, это ни на что не влияет, можно оставить так.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]