Вчера началось, при работе комп уходит на перезагрузку. Проверил в безопасном режиме cureit-ом нашел файл c:\windows\system32\drivers\kvauc.sys удалил но после перезагрузки проблема не исчезла и этот файл снова появился. Лог прилагаю
Вчера началось, при работе комп уходит на перезагрузку. Проверил в безопасном режиме cureit-ом нашел файл c:\windows\system32\drivers\kvauc.sys удалил но после перезагрузки проблема не исчезла и этот файл снова появился. Лог прилагаю
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\ylvla.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\kvauc.sys',''); AddToLog(inttostr(BC_ServiceKill('kvauc')) ); AddToLog(inttostr(BC_ServiceKill('ylvla')) ); SaveLog(GetAVZDirectory+'avz_log.txt'); ExecuteWizard('TSW',2,3,true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); BC_Activate; RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Файл avz_log.txt из папки AVZ приложите в теме.
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Выкладываю лог. При попытке отправит карантин выдает: "Результат загрузки
Ошибка загрузки. Данный файл уже был загружен". К тому же в созданном архиве нет никаких файлов...
Есть какой-нибудь загрузочный CD, позволяющий работать с файлами на жестком диске?
I am not young enough to know everything...
Да есть.
C:\WINDOWS\system32\Drivers\ylvla.sys
C:\WINDOWS\system32\Drivers\kvauc.sys
Эти два файла с помощью загр. диска переименуйте или переместите куда-нибудь. Потом запустите свою систему и выполните заново скрипт из сообщ. #2. После перезагрузки повторите лог по п.2 Диагностики.
Файлики запакуйте в zip с паролем virus и пришлите как карантин.
I am not young enough to know everything...
Сейчас попробую. А скрипт запускать в обычном или безопасном режиме?
Так же сделайте лог gmer:
http://virusinfo.info/showthread.php?t=40118
и приложите его в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Выкладываю новые логи.
Результат загрузкиФайл сохранён как 100916_161627_карантин_4c920a9b23a2b.zip
Размер файла 1326515
MD5 43d1a1ce444cbb4d910d25064cfeb633
Файл закачан, спасибо!
Как чувствует себя "пациент"?
I am not young enough to know everything...
3 часа полет нормальный))) Посмотрим как в течении дня себя вести будет.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- \\kvauc.sys - Rootkit.Win32.Agent.biiu ( DrWEB: Trojan.Packed.20819, BitDefender: Trojan.Krap.H, NOD32: Win32/Bubnix.AU trojan, AVAST4: Win32:Bubnix-J [Rtk] )
- \\ylvla.sys - Rootkit.Win32.Bubnix.aqy ( DrWEB: Trojan.NtRootKit.9537, BitDefender: Trojan.Generic.KDV.45320, AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) eLektr1k, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.