лог HiJackThis после запуска командной строки
лог HiJackThis после запуска командной строки
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Глюк какой-то
- Выполните в АВЗ:
В папке АВЗ появиться файл msdubmna.log, прикрепите его к след. сообщению.Код:begin RegSearch('HKLM', '', 'msdubmna.pif'); RegSearch('HKCU', '', 'msdubmna.pif'); savelog(GetAVZDirectory+'msdubmna.log'); end.
Прикрепляю )
- Выполните в АВЗ:
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\ShellNoRoam\MUICache','C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.pif'); RebootWindows(true); end.
Повторите hijackthis
Вуаля
Выполните в АВЗ (возможно, выполняться будет долго
Файл Search.ini из папки АВЗ прикрепите к след. сообщениюКод:procedure ProSearchReg(SearchStr:string; SearchKey, SearchParam, SearchVal:boolean=true); //процедура поиска //строка поиска, искать в ключах, в параметрах, в значениях var count,i: integer=0; SKey, SParam, SVal: string; HKEY_USERSLines : TStrings; //список подразделов HKEY_USERS begin HKEY_USERSLines := TStringList.Create; SearchStr:=LowerCase(SearchStr);//к нижнему регистру для сравнения if SearchKey then SKey:='true' else SKey := 'false'; if SearchParam then SParam:='true' else SParam := 'false'; if SearchVal then SVal:='true' else SVal := 'false'; //заголовок INI файла INIStrParamWrite(GetAVZDirectory+'Search.ini','Parametrs','StrSearch',SearchStr); INIStrParamWrite(GetAVZDirectory+'Search.ini','Parametrs','SearchKey',SKey); INIStrParamWrite(GetAVZDirectory+'Search.ini','Parametrs','SearchParam',SParam); INIStrParamWrite(GetAVZDirectory+'Search.ini','Parametrs','SearchVal',SVal); //чистка разделов INI файла HKLM и HKEY_USERS INIEraseSection(GetAVZDirectory+'Search.ini','HKLM'); INIEraseSection(GetAVZDirectory+'Search.ini','HKEY_USERS'); //поиск в HKLM count:=FuncSearchReg('HKLM','HARDWARE',SearchStr, count, SearchKey, SearchParam, SearchVal); count:=FuncSearchReg('HKLM','SAM',SearchStr, count, SearchKey, SearchParam, SearchVal); count:=FuncSearchReg('HKLM','SECURITY',SearchStr, count, SearchKey, SearchParam, SearchVal); count:=FuncSearchReg('HKLM','SOFTWARE',SearchStr, count, SearchKey, SearchParam, SearchVal); count:=FuncSearchReg('HKLM','SYSTEM',SearchStr, count, SearchKey, SearchParam, SearchVal); INIStrParamWrite(GetAVZDirectory+'Search.ini','Parametrs','HKLM_Count',inttostr(count));//количество найденных ключей, значений, параметров в разделе HKLM count:=0; //формирование списка разделов HKEY_USERSLines RegKeyEnumKey('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList', HKEY_USERSLines);//узнаем какие подразделы в HKEY_USERS HKEY_USERSLines.insert(0,'.DEFAULT'); i:=0; while i < HKEY_USERSLines.count do begin if RegKeyExists('HKEY_USERS', HKEY_USERSLines[i]+'_Classes') then HKEY_USERSLines.insert(i+1,HKEY_USERSLines[i]+'_Classes'); i:=i+1; end; //поиск в HKEY_USERS for i:=0 to HKEY_USERSLines.count-1 do count:=FuncSearchReg('HKEY_USERS',HKEY_USERSLines[i],SearchStr, count, SearchKey, SearchParam, SearchVal); INIStrParamWrite(GetAVZDirectory+'Search.ini','Parametrs','HKEY_USERS_Count',inttostr(count));//количество найденных ключей, значений, параметров в разделе HKEY_USERS HKEY_USERSLines.free; end; Function FuncSearchReg(ARoot, AKey, SearchStr:string; count: integer; SearchKey, SearchParam, SearchVal:boolean): integer; var KeyLines, ValLines : TStrings; i,j : integer; binary:boolean; begin KeyLines := TStringList.Create; //список ключей ValLines := TStringList.Create; //список параметров if SearchKey then begin if Pos(SearchStr, LowerCase(AKey))<>0 then begin INIStrParamWrite(GetAVZDirectory+'Search.ini',ARoot,'Key'+inttostr(count+1),AKey); INIStrParamWrite(GetAVZDirectory+'Search.ini',ARoot,'Param'+inttostr(count+1),''); INIStrParamWrite(GetAVZDirectory+'Search.ini',ARoot,'Value'+inttostr(count+1),''); count:=count+1; end; end; RegKeyEnumVal(ARoot,AKey, ValLines);//чтение параметров ключа AKey if SearchParam then begin for i:= 0 to ValLines.Count-1 do begin if Pos(SearchStr, LowerCase(ValLines[i]))<>0 then begin INIStrParamWrite(GetAVZDirectory+'Search.ini',ARoot,'Key'+inttostr(count+1),AKey); INIStrParamWrite(GetAVZDirectory+'Search.ini',ARoot,'Param'+inttostr(count+1),ValLines[i]); INIStrParamWrite(GetAVZDirectory+'Search.ini',ARoot,'Value'+inttostr(count+1),''); count:=count+1; end; end; end; if SearchVal then begin for i:= 0 to ValLines.Count-1 do begin if Pos(SearchStr, LowerCase(RegKeyStrParamRead(ARoot, AKey, ValLines[i])))<>0 then begin j:=0; binary:=false; for j:=0 to Length(RegKeyStrParamRead(ARoot, AKey, ValLines[i]))-1 do if Ord(copy(RegKeyStrParamRead(ARoot, AKey, ValLines[i]), j, 2))<32 then //проверка на бинарность begin binary:=true; break; end; if(not binary) then begin INIStrParamWrite(GetAVZDirectory+'Search.ini',ARoot,'Key'+inttostr(count+1),AKey); INIStrParamWrite(GetAVZDirectory+'Search.ini',ARoot,'Param'+inttostr(count+1),ValLines[i]); INIStrParamWrite(GetAVZDirectory+'Search.ini',ARoot,'Value'+inttostr(count+1),RegKeyStrParamRead(ARoot, AKey, ValLines[i])); count:=count+1 end; end; end; end; RegKeyEnumKey(ARoot,AKey, KeyLines); for i:= 0 to KeyLines.Count-1 do begin count:=FuncSearchReg(ARoot, NormalDir(AKey)+LowerCase(KeyLines[i]), SearchStr, count, SearchKey, SearchParam, SearchVal); end; KeyLines.free; ValLines.free; result:=count; end; begin ProSearchReg('msdubmna.pif'); end.
Какой то замкнутый круг
Файл не хочет грузится,такого файла нет в списке разрешенных... Может можно другим способом залить его? Или переименовать?
Поменяйте расширение на .txt или запакуйте в архив.Сообщение от Pamawka
Готово
Откройте редактор реестра:
Посмотрите ключ:Код:Пуск - выполнить - regedit
В нем есть параметр 38457=C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna. pif ?Код:SOFTWARE\microsoft\windows\currentversion\policies\explorer\run
Да, есть
выполните скрипт в AVZ
компьютер перезагрузится, после этого повторите лог hijackthisКод:begin SysCleanAddFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.pif'); RebootWindows(false); end.
По-мойму все те же, все тоже
Удалите этот параметр вручную, перезапуститесь и посмотрите не появился ли он снова. Повторите лог hijackthis.
Не удается удалить выбранные параметры
Что пишет при удалении?
Не удается удалить все выделенные параметры
Правой кнопкой мыши по
- разрешения. Поставьте своему пользователю все права на ветку.Код:SOFTWARE\microsoft\windows\currentversion\policies\explorer\run
Добавлено через 1 минуту
Потом попробуйте удалить параметр 38457
Последний раз редактировалось Techno; 25.02.2012 в 18:44. Причина: Добавлено
Если глаза мне не изменяют, то вроде победа
Настырный какой был
В логах порядок, жалобы есть?
Уважаемый(ая) Pamawka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
