Показано с 1 по 8 из 8.

pmkhf.exe и компания (заявка № 16964)

  1. #1
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    16
    Вес репутации
    60

    Thumbs up pmkhf.exe и компания

    Всё началось с того что nod32 стал грузить процессор на 100% и им стало невозможно пользоваться. После перезагрузки системы стало появляться окошко "Файл .../system32/pmhkf.exe содержит недопустимые инструкции". Я нашёл в папке файлы pmkhf.exe и одноимённый .dll. Пошёл в гугл, попал на ваш (превосходный, кстати) форум и (по незнанию правил - ну что с меня, чурки, взять) выполнил в AVZ первый приведённый в теме скрипт (удалив перед этим nod).
    При перезагрузке Windows стала ругаться на эти два отсутствующие файла. А nod несмотря на несколько переустановок, с удалением и без удалений, стал выглядеть ущербно (будто непрогружаются некоторые детали интерфейса, отутствуют некоторые кнопочки; базы при этом последние).
    CureIt в безопасном режиме удалил файл (очень сожалею, название пропустил - что-то похожее на opnnnnn.dll), дошёл до 9% проверки и сказал что она закончена. Когда я закрыл CureIt, Появилось сообщение - не знаю от кого - "setup.exe требует перезагрузки". Я согласился, комп при попытке выключиться замер.
    AVZ скачал пару часов назад. Не знаю, обновлены ли в этом случае его базы.
    В любом случае, обновляться он отказался.
    Ну и вот, предоставляю то, что осталось
    Если ничего страшного в логах не окажется - подскажите что сделать с этими двумя сообщениями при запуске Windows (я про отсутствующие pmkhf.dll и pmkhf.exe)
    PS В инете я с работы, посмотрю, что мне напишут, только в понедельник
    PPS Судя по характеру форума, должны написать
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    F3 - REG:win.ini: load=C:\WINDOWS\system32\pmkhf.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\pmkhf.exe','');
     QuarantineFile('C:\WINDOWS\system32\pmkhf.dll','');
     QuarantineFile('C:\WINDOWS\system32\opnnnol.dll','');
     DeleteFile('C:\WINDOWS\system32\opnnnol.dll');
     DeleteFile('C:\WINDOWS\system32\pmkhf.exe');
     DeleteFile('C:\WINDOWS\system32\pmkhf.dll');
     DelBHO('{43BE0112-D072-437B-9CB5-7E2DBC700821}');
     DelBHO('{2423041F-8B96-4280-95DC-709250944B8D}');
    DelWinlogonNotifyByKeyName('opnnnol');
    RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=16964).
    Обновите базы AVZ и сделайте новые логи.
    Последний раз редактировалось Bratez; 25.01.2008 в 11:04.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    16
    Вес репутации
    60
    Базы обновил (не додумался сразу что с помощью стандартного скрипта надо было).
    Логи присылаю. Проблема, вроде бы, исчерпала себя (сообщения при загрузке и тормоза нода, вроде, исчезли).
    А вот в карантине ничего из тех файлов нет - напоминаю, всё убито CureIt'ом в первой серии.
    Однако появилась теперь какая-то ещё гадость. Видимо, нашлась после обновления Поэтому карантин всё же высылаю.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Пофиксьте в HijackThis:
    Код:
    O2 - BHO: (no name) - {2423041F-8B96-4280-95DC-709250944B8D} - (no file)
    O20 - Winlogon Notify: opnnnol - C:\WINDOWS\
    Больше плохого не видно..
    Что из этого не нужно?
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

  6. #5
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    16
    Вес репутации
    60
    Ну так большое же вам спасибо, люди добрые
    Насчёт служб - комп в локалке, используется интернет через хаб, общие принтеры, общие папки. Т. е. что-то из вышеуказанных служб отключать нельзя?

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    давайте такой скрипт ....
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Messenger', 4);
    SetServiceStart('TlntSvr', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    прпробуйте не скажется ли это на работе сетевых принтеров ... (если что включим )

  8. #7
    Junior Member Репутация
    Регистрация
    25.01.2008
    Сообщений
    16
    Вес репутации
    60
    Всё замечательно, охватывает чувство очищенности. Всем спасибо!

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) deadcoyote, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. jobdrive32.exe и компания
      От Dmi9000 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 28.06.2011, 20:03
    2. ghdrive32.exe и компания
      От enik1945 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.05.2011, 03:30
    3. reader_s.exe и компания
      От Glebych в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 10.07.2009, 11:44
    4. Трояны и компания
      От Julia1404 в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 30.06.2009, 17:58
    5. ntos.exe и компания
      От Feanor в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.04.2008, 09:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00685 seconds with 20 queries