Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 34.

eKAV Antivirus последствия (заявка № 66235)

  1. #1
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Москва СВАО
    Сообщений
    30
    Вес репутации
    56

    Question eKAV Antivirus последствия

    Всех с праздниками!Имеем следующую проблему :eKAV пришлите СМС на 4460,я подобрал код воспользовавшись http://virusinfo.info/showthread.php?t=65898
    Сейчас заметно что подтормаживает,проверка AVPTool выявила с десяток троянов,но подтормаживание осталось иногда при попытке проверить каким-либо антивирусом выскакивает синий экран,спасает только перезагрузка.Логи прилагаю
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Здравствуйте.
    Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Обновите базы и сделайте новые логи AVZ + лог gmer

  4. #3
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Москва СВАО
    Сообщений
    30
    Вес репутации
    56
    Цитата Сообщение от DefesT Посмотреть сообщение
    Здравствуйте.

    Обновите базы и сделайте новые логи AVZ + лог gmer
    Обновился,но с gmer-ом засада-выкидывает с ошибкой

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\TEMP\~TME1.tmp','');
     QuarantineFile('C:\Program Files\dmkqsh\hmctsysguard.exe','');
     DeleteFile('C:\WINDOWS\TEMP\~TME1.tmp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
    Вот это выполните
    Сделайте новые логи по правилам + попробуйте сделать лог gmer. Если не запускается, то переименуйте его, например, в game.pif.
    C:\Program Files\dmkqsh\ - что это?

  6. #5
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Москва СВАО
    Сообщений
    30
    Вес репутации
    56
    1.Карантин отправил
    2.Сходил по ссылке,все проверил изменений не нашел,но на всякий пожарный выполнил скрипт
    3.С логом gmer по прежнему засада(он стартует ,начинает работать и вылетает с ошибкой ) Обратил внимание,что после этого перестает работать инет,пока не перезагрузишся.
    4.C:\Program Files\dmkqsh\ -- не знаю точно,возможно это какая то программа от WIS или EPC или их оболочки.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    В AVZ - Установите драйвер расширенного мониторинга процессов (AVZPM)
    Сделайте новые логи AVZ
    Еще такой лог сделайте

  8. #7
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Москва СВАО
    Сообщений
    30
    Вес репутации
    56
    Цитата Сообщение от DefesT Посмотреть сообщение
    В AVZ - Установите драйвер расширенного мониторинга процессов (AVZPM)
    Сделайте новые логи AVZ
    Еще такой лог сделайте
    Все сделано.

  9. #8
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Москва СВАО
    Сообщений
    30
    Вес репутации
    56
    С логом gmer по прежнему засада(он стартует ,начинает работать и вылетает с ошибкой ) Обратил внимание,что после этого перестает работать инет,пока не перезагрузишся и еще перестает работать панель ПУСК.
    Что можно предпринять?

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Выполните скрипт AVZ:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
     AddToLog('Удаление скрытого сервиса '+'aowwkyi'+' - Результат:'+inttostr(BC_ServiceKill('aowwkyi')) );
     AddToLog('Удаление скрытого сервиса '+'cbbuxxetc'+' - Результат:'+inttostr(BC_ServiceKill('cbbuxxetc')) );
     AddToLog('Удаление скрытого сервиса '+'crivktuu'+' - Результат:'+inttostr(BC_ServiceKill('crivktuu')) );
     AddToLog('Удаление скрытого сервиса '+'flofay'+' - Результат:'+inttostr(BC_ServiceKill('flofay')) );
     AddToLog('Удаление скрытого сервиса '+'pemmcqm'+' - Результат:'+inttostr(BC_ServiceKill('pemmcqm')) );
     AddToLog('Удаление скрытого сервиса '+'twgwzadag'+' - Результат:'+inttostr(BC_ServiceKill('twgwzadag')) );
     AddToLog('Удаление скрытого сервиса '+'vrrti'+' - Результат:'+inttostr(BC_ServiceKill('vrrti')) );
     QuarantineFile('C:\Program Files\dmkqsh\hmctsysguard.exe','');
     QuarantineFile('%SystenRoot%\System32\netevent.dll','');
     QuarantineFile('C:\Windows\System32\netevent.dll','');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса}
     DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
     DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
     BC_ImportAll;
    ExecuteSysClean;
     SaveLog(GetAVZDirectory+'avz_log.txt');
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Обновите базы AVZ!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Запакуйте в отдельный zip-архив всё содержимое папки C:\Program Files\dmkqsh\
    - Включите Антивирус и Файрвол
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин и содержимое папку C:\Program Files\dmkqsh\ согласно Правил (Приложение 3).
    - Прикрепите новые логи, а также файл avz_log.txt из папки AVZ к новому сообщению в этой ветке.

  11. #10
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Москва СВАО
    Сообщений
    30
    Вес репутации
    56
    Цитата Сообщение от gjf Посмотреть сообщение
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Выполните скрипт AVZ:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
     AddToLog('Удаление скрытого сервиса '+'aowwkyi'+' - Результат:'+inttostr(BC_ServiceKill('aowwkyi')) );
     AddToLog('Удаление скрытого сервиса '+'cbbuxxetc'+' - Результат:'+inttostr(BC_ServiceKill('cbbuxxetc')) );
     AddToLog('Удаление скрытого сервиса '+'crivktuu'+' - Результат:'+inttostr(BC_ServiceKill('crivktuu')) );
     AddToLog('Удаление скрытого сервиса '+'flofay'+' - Результат:'+inttostr(BC_ServiceKill('flofay')) );
     AddToLog('Удаление скрытого сервиса '+'pemmcqm'+' - Результат:'+inttostr(BC_ServiceKill('pemmcqm')) );
     AddToLog('Удаление скрытого сервиса '+'twgwzadag'+' - Результат:'+inttostr(BC_ServiceKill('twgwzadag')) );
     AddToLog('Удаление скрытого сервиса '+'vrrti'+' - Результат:'+inttostr(BC_ServiceKill('vrrti')) );
     QuarantineFile('C:\Program Files\dmkqsh\hmctsysguard.exe','');
     QuarantineFile('%SystenRoot%\System32\netevent.dll','');
     QuarantineFile('C:\Windows\System32\netevent.dll','');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса}
     DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
     DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
     BC_ImportAll;
    ExecuteSysClean;
     SaveLog(GetAVZDirectory+'avz_log.txt');
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Обновите базы AVZ!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Запакуйте в отдельный zip-архив всё содержимое папки C:\Program Files\dmkqsh\
    - Включите Антивирус и Файрвол
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин и содержимое папку C:\Program Files\dmkqsh\ согласно Правил (Приложение 3).
    - Прикрепите новые логи, а также файл avz_log.txt из папки AVZ к новому сообщению в этой ветке.
    Все сделал,но папку C:\Program Files\dmkqsh\ не нашел нигде,галочку поставил показывать скрытые,но все равно нет и все.
    логи прилагаю.
    ЗЫ.Гмер по прежнему не делается.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Да, не добили одного. Повторите действия выше с таким скриптом:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
     AddToLog('Удаление скрытого сервиса '+'ddtvz'+' - Результат:'+inttostr(BC_ServiceKill('ddtvz')) );
     DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
     DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
     BC_ImportAll;
    ExecuteSysClean;
     SaveLog(GetAVZDirectory+'avz_log.txt');
     BC_Activate;
     RebootWindows(true);
    end.
    Не забудьте повторить логи.

  13. #12
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Москва СВАО
    Сообщений
    30
    Вес репутации
    56
    Cделано,новые логи

  14. #13

  15. #14
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Москва СВАО
    Сообщений
    30
    Вес репутации
    56
    Цитата Сообщение от gjf Посмотреть сообщение
    GMER уже запускается? Сделайте лог с помощью GMER.
    gmer.log
    Нет с GMER все тоже самое,при попытке с делать лог он работает пару-тройку секунд и вылетает с ошибкой "обратилась к памяти по адресу,память не может быть red"что-то в этом роде.После этого экплорер и опера впадают в кому и пропадает инет,спасает перезагрузка с кнопки.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Понятно. Возможно, что-то ещё сидит. Попробуем другим инструментом. Сделайте лог с помощью Rootkit Unhooker. Также, воспользуйтесь этой утилитой. После запуска в папке появится текстовый файл - пришлите его сюда.

  17. #16
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Москва СВАО
    Сообщений
    30
    Вес репутации
    56
    Вот лог Rootkit Unhooker и лог rk remover.Показалось,что rk remover при перезагрузке удалил какую-то дрянь.Но Гмер не работает все равно.
    Последний раз редактировалось avtohlam; 11.01.2010 в 18:25.

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Возьму таймаут посовещаться с коллегами. У Вас довольно сложный случай.

  19. #18
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Москва СВАО
    Сообщений
    30
    Вес репутации
    56
    Цитата Сообщение от gjf Посмотреть сообщение
    Возьму таймаут посовещаться с коллегами. У Вас довольно сложный случай.
    Я благодарен за внимание к моей проблеме.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Хотя вот ещё такая идея: выполните вот такой скриптик AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','system tool');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','system tool');
     RebootWindows(true);
    end.
    Система перезагрузится. После перезагрузки сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
    virusinfo_syscheck.zip

  21. #20
    Junior Member Репутация
    Регистрация
    26.12.2008
    Адрес
    Москва СВАО
    Сообщений
    30
    Вес репутации
    56
    Cделано.Я тут еще поизвращался,так вот в безопасном режиме rk remover и Rootkit Unhooker не стартуют,сразу ошибка какого-то драйвера.
    В обычном режиме при запуске rk remover выскакивает синий экран(такой и раньше выскакивал при удалении этого вируса) и требуется перезагрузка с кнопки.

  • Уважаемый(ая) avtohlam, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. eKAV Antivirus
      От Lemm в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.01.2010, 15:07
    2. eKAV AntiVirus
      От tarik1969 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.01.2010, 00:26
    3. eKAV Antivirus
      От Deniska1983 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 07.01.2010, 16:11
    4. eKav Antivirus
      От AngelV в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 03.01.2010, 20:58
    5. eKAV antivirus
      От mind_flay в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 03.01.2010, 16:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01300 seconds with 20 queries