Прогонял на мах настройках Cureit и AVP mp4 и avz, файлы находятся - удаляются, но...подозрения в avz остаются...
в реестре сидят "пути", пробовал ручками от dll к exe и от обратного, при перезагрузке вновь все появляется...
Обидно...
Прогонял на мах настройках Cureit и AVP mp4 и avz, файлы находятся - удаляются, но...подозрения в avz остаются...
в реестре сидят "пути", пробовал ручками от dll к exe и от обратного, при перезагрузке вновь все появляется...
Обидно...
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: URLHooker2 Class - {93935F7F-9C88-42F8-8445-95251D27FABC} - (no file) O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Компьютер перезагрузится.Код:procedure WhatService(AServiceName : string); var dllname, servicekey : string; begin servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName; RegKeyResetSecurity( 'HKLM', servicekey); RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters'); AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description')); AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName')); AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath')); dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll'); AddToLog('ServiceDll: '+dllname); QuarantineFile(dllname,''); end; begin SetAVZGuardStatus(True); WhatService('uznxfzm'); BC_ImportAll; BC_Activate; SaveLog(GetAVZDirectory+'uznxfzm.log'); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=94962).
Прикрепите к теме файл uznxfzm.log из папки с AVZ.
По поводуПри создании протокола исследования системы AVZ неправильно парсит параметр реестра AppInit_DLLs, и из-за этого в разделе Автозапуск появляются странные dll и exe. На самом деле там ничего плохого нет:Скрытые *.dll и *.exe в автозапуске
Удалять не нужно, это компоненты антивируса Касперского.Код:O20 - AppInit_DLLs: D:\PROGRA~1\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\kloehk.dll,D:\PROGRA~1\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\adialhk.dll
I am not young enough to know everything...
Пофиксил HijackThis...
загрузил Quarantine.zip
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin BC_ServiceKill('uznxfzm'); BC_Activate; RebootWindows(true); end.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Вот
Сделайте лог gmer.
I am not young enough to know everything...
Сделал
- Сохраните текст ниже как 1.bat в ту же папку, где находится rqfq3pgl.exe (GMER) и запустите этот батник(1.bat):
Компьютер перезагрузится.Код:rqfq3pgl.exe -del service uznxfzm rqfq3pgl.exe -del file "D:\Windows\system32\jvnqbtl.dll" rqfq3pgl.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0010\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0011\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0012\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0013\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0014\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0024\Services\uznxfzm" rqfq3pgl.exe -reboot
После перезагрузки:
- Сделайте новый лог Gmer
сделал
- Сохраните текст ниже как 1.bat в ту же папку, где находится rqfq3pgl.exe (GMER) и запустите этот батник(1.bat):
Компьютер перезагрузится.Код:rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0010\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0011\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0012\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0013\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0014\Services\uznxfzm" rqfq3pgl.exe -del reg "HKLM\SYSTEM\ControlSet0024\Services\uznxfzm" rqfq3pgl.exe -reboot
После перезагрузки:
- Сделайте новый лог Gmer
Батник постоянно ругался, что такой "строки" не существует и поэтому удалить невозможно...
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyResetSecurity('HKLM','SYSTEM\ControlSet10\Services\uznxfzm'); RegKeyResetSecurity('HKLM','SYSTEM\ControlSet10\Services\uznxfzm\Parameters'); RegKeyDel('HKLM','SYSTEM\ControlSet10\Services\uznxfzm\Parameters'); RegKeyDel('HKLM','SYSTEM\ControlSet10\Services\uznxfzm'); RegKeyResetSecurity('HKLM','SYSTEM\ControlSet11\Services\uznxfzm'); RegKeyResetSecurity('HKLM','SYSTEM\ControlSet11\Services\uznxfzm\Parameters'); RegKeyDel('HKLM','SYSTEM\ControlSet11\Services\uznxfzm\Parameters'); RegKeyDel('HKLM','SYSTEM\ControlSet11\Services\uznxfzm'); RegKeyResetSecurity('HKLM','SYSTEM\ControlSet12\Services\uznxfzm'); RegKeyResetSecurity('HKLM','SYSTEM\ControlSet12\Services\uznxfzm\Parameters'); RegKeyDel('HKLM','SYSTEM\ControlSet12\Services\uznxfzm\Parameters'); RegKeyDel('HKLM','SYSTEM\ControlSet12\Services\uznxfzm'); RegKeyResetSecurity('HKLM','SYSTEM\ControlSet13\Services\uznxfzm'); RegKeyResetSecurity('HKLM','SYSTEM\ControlSet13\Services\uznxfzm\Parameters'); RegKeyDel('HKLM','SYSTEM\ControlSet13\Services\uznxfzm\Parameters'); RegKeyDel('HKLM','SYSTEM\ControlSet13\Services\uznxfzm'); RegKeyResetSecurity('HKLM','SYSTEM\ControlSet14\Services\uznxfzm'); RegKeyResetSecurity('HKLM','SYSTEM\ControlSet14\Services\uznxfzm\Parameters'); RegKeyDel('HKLM','SYSTEM\ControlSet14\Services\uznxfzm\Parameters'); RegKeyDel('HKLM','SYSTEM\ControlSet14\Services\uznxfzm'); RegKeyResetSecurity('HKLM','SYSTEM\ControlSet24\Services\uznxfzm'); RegKeyResetSecurity('HKLM','SYSTEM\ControlSet24\Services\uznxfzm\Parameters'); RegKeyDel('HKLM','SYSTEM\ControlSet24\Services\uznxfzm\Parameters'); RegKeyDel('HKLM','SYSTEM\ControlSet24\Services\uznxfzm'); BC_ImportALL; ExecuteSysClean; RebootWindows(true); end.
- Сделайте лог Gmer
прошу...
?
Активной заразы нет, осталось несколько следов в реестре, которые никак не хотят удаляться. В принципе, это ни на что не влияет, можно оставить так.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) antonbaton, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.