Проблема с вирусом, постоянно висит в запуске devauditauth.exe , после удаления сразу же появляется заново. Avz пишет подозрение на сервис/драйвер
Suspicion for service/driver reg key masking "eraxsgaj", в безопасном режиме не могу удалить его из реестра.
Знаю, что нужно логи прислать, я скачал avz, как написано в инструкции, но у меня там нет скрипта со сбором логов для Virusinfo.info, скрипт нужно откуда-то скачать?
У меня есть только:
1.Detect and block User/Kernel mode hooks
2. Advanced system analisys
3.Advanced system analisys and mailware removal
4. Collecting not recognized and suspicious files
5. Update sighnature database
6. Delete all avz drivers
7. Database update and system analisys. Kaspersky lab
Заранее спасибо за помощь
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) karyon, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
файл devauditauth.exe постоянно пересоздается,
посмотрел сервис eraxsgaj, отображается как Microsoft Server, но не смог его удалить в safe_mode, видимо постоянно загружается
если игнорировать devaudit, то через некоторое время появляются новые вирусы, видимо подкачивает из интернет
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
DeleteFile('C:\Documents and Settings\user\Application Data\CA80C103F23F8341BF5B5AC21F65B662\gotnewupdate005.exe');
DeleteFile('C:\PROGRA~1\Grisoft\AVGFRE~1\avglog.dll');
DeleteFile('C:\Program Files\devauditauth.exe');
DeleteFile('C:\WINDOWS\system32\5jp1oz2u.exe');
DeleteFile('C:\WINDOWS\system32\editcryptmgr.exe');
ExecuteSysClean;
ExecuteRepair(8);
BC_ServiceKill('eraxsgaj');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: