thyrannosaurus
Цитата:
Цитата:
По ссылке выдает "Вам запрещено действие"Залил на другой обменник http://zalil.ru/30116948
» Помощь при лечении компьютера от вирусов
Mushroomer
Живучая дрянь, но попробуем....
- Загрузитесь в безопасном режиме.
- Выполните скрипт:
Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
AddToLog('Удаление скрытого сервиса '+'winmgt32k'+' - Результат:'+inttostr(BC_ServiceKill('winmgt32k')) );
AddToLog('Удаление скрытого сервиса '+'sysvideo32'+' - Результат:'+inttostr(BC_ServiceKill('sysvideo32')) );
AddToLog('Удаление скрытого сервиса '+'gopwk'+' - Результат:'+inttostr(BC_ServiceKill('gopwk')) );
QuarantineFile('C:\Program Files\Common Files\System\winmgt32k.dll','');
QuarantineFile('C:\Program Files\Common Files\System\sysvideo32.dll','');
DeleteFile('C:\Program Files\Common Files\System\sysvideo32.dll');
DeleteFile('C:\Program Files\Common Files\System\winmgt32k.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1); {восстановление параметров запуска исполняемых файлов}
SaveLog(GetAVZDirectory+'avz_log.txt');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Живучая дрянь, но попробуем....
- Загрузитесь в безопасном режиме.
- Выполните скрипт:
Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
AddToLog('Удаление скрытого сервиса '+'winmgt32k'+' - Результат:'+inttostr(BC_ServiceKill('winmgt32k')) );
AddToLog('Удаление скрытого сервиса '+'sysvideo32'+' - Результат:'+inttostr(BC_ServiceKill('sysvideo32')) );
AddToLog('Удаление скрытого сервиса '+'gopwk'+' - Результат:'+inttostr(BC_ServiceKill('gopwk')) );
QuarantineFile('C:\Program Files\Common Files\System\winmgt32k.dll','');
QuarantineFile('C:\Program Files\Common Files\System\sysvideo32.dll','');
DeleteFile('C:\Program Files\Common Files\System\sysvideo32.dll');
DeleteFile('C:\Program Files\Common Files\System\winmgt32k.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1); {восстановление параметров запуска исполняемых файлов}
SaveLog(GetAVZDirectory+'avz_log.txt');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
gjf
combofix.exe, посоветанный thyrannosaurus, должен отработать до последнего лечения?
Цитата:
1) это не я
2) моя коллега по предыдущей работе.
combofix.exe, посоветанный thyrannosaurus, должен отработать до последнего лечения?
Цитата:
А кто такая Яна?Вопрос неэтичный, но я отвечу.
1) это не я
2) моя коллега по предыдущей работе.
Mushroomer
Попробуйте сначала выполнить скрипт gjf, а потом ComboFix
Попробуйте сначала выполнить скрипт gjf, а потом ComboFix
Доброго всем дня! прошу о помощи 
в общем avz пишет подмена диспетчера задач, в процессах был цифры.exe ну и баннер рекламный как положено
вот логи
http://www.mediafire.com/file/3gqhewzq62273hb/logs.rar
в общем avz пишет подмена диспетчера задач, в процессах был цифры.exe ну и баннер рекламный как положено вот логи
http://www.mediafire.com/file/3gqhewzq62273hb/logs.rar
Urgva
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
TerminateProcessByName('c:\windows\system32\lckfldservice.exe');
QuarantineFile('C:\Documents and Settings\User\dxlo.exe','');
QuarantineFile('C:\Documents and Settings\User\Application Data\nsvb.exe','');
QuarantineFile('C:\Documents and Settings\User\Application Data\juzjf.exe','');
QuarantineFile('C:\Documents and Settings\User\Application Data\juzjf.exe','');
QuarantineFile('c:\windows\system32\lckfldservice.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\krtmjtlk.sys','');
AddToLog('Удаление скрытого сервиса '+'krtmjtlk'+' - Результат:'+inttostr(BC_ServiceKill('krtmjtlk')) );
AddToLog('Удаление скрытого сервиса '+'LckFldService'+' - Результат:'+inttostr(BC_ServiceKill('LckFldService')) );
DeleteFile('c:\windows\system32\lckfldservice.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\krtmjtlk.sys');
DeleteFile('C:\Documents and Settings\User\Application Data\juzjf.exe');
DeleteFile('C:\Documents and Settings\User\Application Data\nsvb.exe');
DeleteFile('C:\Documents and Settings\User\Application Data\juzjf.exe');
DeleteFile('C:\Documents and Settings\User\dxlo.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); {удаление нестандартного диспетчера задач}
BC_ImportAll;
ExecuteSysClean;
SaveLog(GetAVZDirectory+'avz_log.txt');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
TerminateProcessByName('c:\windows\system32\lckfldservice.exe');
QuarantineFile('C:\Documents and Settings\User\dxlo.exe','');
QuarantineFile('C:\Documents and Settings\User\Application Data\nsvb.exe','');
QuarantineFile('C:\Documents and Settings\User\Application Data\juzjf.exe','');
QuarantineFile('C:\Documents and Settings\User\Application Data\juzjf.exe','');
QuarantineFile('c:\windows\system32\lckfldservice.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\krtmjtlk.sys','');
AddToLog('Удаление скрытого сервиса '+'krtmjtlk'+' - Результат:'+inttostr(BC_ServiceKill('krtmjtlk')) );
AddToLog('Удаление скрытого сервиса '+'LckFldService'+' - Результат:'+inttostr(BC_ServiceKill('LckFldService')) );
DeleteFile('c:\windows\system32\lckfldservice.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\krtmjtlk.sys');
DeleteFile('C:\Documents and Settings\User\Application Data\juzjf.exe');
DeleteFile('C:\Documents and Settings\User\Application Data\nsvb.exe');
DeleteFile('C:\Documents and Settings\User\Application Data\juzjf.exe');
DeleteFile('C:\Documents and Settings\User\dxlo.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); {удаление нестандартного диспетчера задач}
BC_ImportAll;
ExecuteSysClean;
SaveLog(GetAVZDirectory+'avz_log.txt');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Здравствуйте.
Периодически от провайдера приходит сообщение о рассылке спама с моего ПК. Также заметил, что регулярно стало слетать системное время, что очень плохо сказывается на триальных версиях программ. Провёл последовательность действий согласно шапке (АВ ничего подозрительного не нашли).
info.txt
log.txt
virusinfo_syscure.zip
Периодически от провайдера приходит сообщение о рассылке спама с моего ПК. Также заметил, что регулярно стало слетать системное время, что очень плохо сказывается на триальных версиях программ. Провёл последовательность действий согласно шапке (АВ ничего подозрительного не нашли).
info.txt
log.txt
virusinfo_syscure.zip
Urgva
Плохого не видно. Проблема решена?
HEXFIX
В логах плохого не увидел
Плохого не видно. Проблема решена?
HEXFIX
В логах плохого не увидел
[spam]
Похоже что решена! спасибо братцы
Здравствуйте.Насколько я понял моя проблема не нова. Появился подозрительный двойник процесса IEXPLORE.EXE запушенный от моего имени и живущий своей жизнью независимо от настоящего IE. Ест память (7000К- 12000К). Если завершить процесс в диспетчере задач то Касперский (ver 2010) начинает ругаться : Installation пытается получить доступ к защищенному хранилищу паролей. Запущено Installation > Internet Explorer > Installation
Если в Касперском выполнить «Запретить сейчас» выскакивает ошибка Svchost.exe ( Offsot: 00009d9a ). А если выполнить « завершить и переместить процесс в недоверенные» то после перезагрузки системы помимо вышеизложенной ошибки выскакивает ошибка памяти. Что-то вроде память по адресу 000ХХХ не может быть «read». И несколько отдельных окон Error 216. При этом процесс IEXPLORE.EXE все равно загружается. При выключенном Касперском процесс после его завершения через диспетчера загружается вновь через 5 секунд. Касперский и КVRT на максимальных настройках проверки не чего не выявили. Прошу помощи если это возможно. Заранее благодарен.
http://www.mediafire.com/?tt9571077sah7sd
http://www.mediafire.com/?7znp61fvqgn1w54
http://www.mediafire.com/?16gk166m1umn4cx
Если в Касперском выполнить «Запретить сейчас» выскакивает ошибка Svchost.exe ( Offsot: 00009d9a ). А если выполнить « завершить и переместить процесс в недоверенные» то после перезагрузки системы помимо вышеизложенной ошибки выскакивает ошибка памяти. Что-то вроде память по адресу 000ХХХ не может быть «read». И несколько отдельных окон Error 216. При этом процесс IEXPLORE.EXE все равно загружается. При выключенном Касперском процесс после его завершения через диспетчера загружается вновь через 5 секунд. Касперский и КVRT на максимальных настройках проверки не чего не выявили. Прошу помощи если это возможно. Заранее благодарен.
http://www.mediafire.com/?tt9571077sah7sd
http://www.mediafire.com/?7znp61fvqgn1w54
http://www.mediafire.com/?16gk166m1umn4cx
densavochkin
Cureit последним протестите систему, если это троян32, то он его найдет и бахнет
Cureit последним протестите систему, если это троян32, то он его найдет и бахнет
densavochkin
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Код:
Function DelAppInit_DLLsByFileName(Name : string) : boolean;
const
RegKey = 'Software\Microsoft\Windows NT\CurrentVersion\Windows';
var
AppInit_DLLs,Temp_AppInit_DLLs,Temp : string;
n,p : integer;
begin
Result := false;
Name := LowerCase(Name); AppInit_DLLs := ''; n := 0; p := 0;
Temp_AppInit_DLLs := StringReplace(LowerCase(RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs')), ',', ' ') + ' ';
if (Temp_AppInit_DLLs = ' ') or (pos(Name, Temp_AppInit_DLLs) = 0) then exit;
Temp := Temp_AppInit_DLLs;
while pos(Name, Temp) > 0 do
begin
Inc(p);
Delete(Temp, pos(Name, Temp), Length(Name));
end;
Temp := '';
while pos(' ', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) <> '' then
begin
If n > 1 then Temp := Temp + ',';
If pos(':\', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then Temp := Temp + ',';
If pos('.', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) + ',' else Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs));
n := 0;
end;
Delete(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs)); Inc(n);
end;
while (pos(',,', Temp) > 0) or (pos(' ,', Temp) > 0) do Temp := StringReplace(StringReplace(Temp, ',,', ','), ' ,', ',');
while (pos(Copy(Temp, 1, 1), ' ,') > 0) do Delete(Temp, 1, 1);
while (pos(Copy(Temp, Length(Temp), 1), ' ,') > 0) do Delete(Temp, Length(Temp), 1);
Temp_AppInit_DLLs := Temp + ',';
Temp := '';
while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If pos('\', Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) > 0 then
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)) else Temp := Temp + StringReplace(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)), ' ', ',');
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end;
Temp_AppInit_DLLs := Temp + ',';
while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If (Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) = Name) or ((p <= 1) and (ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) = Name)) then
AppInit_DLLs := AppInit_DLLs else AppInit_DLLs := AppInit_DLLs + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end;
If Copy(AppInit_DLLs, Length(AppInit_DLLs), 1) = ',' then Delete(AppInit_DLLs, Length(AppInit_DLLs), 1);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', RegKey, 'AppInit_DLLs', AppInit_DLLs);
If RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs') = AppInit_DLLs then Result := true;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\Program Files\\Outlook Express\setup50.exe','');
DelCLSID('38DWED15-27U1-Q8Y8-PMTK-Y534T5N71VT4');
QuarantineFile('C:\WINDOWS\system32\WinDir\Svchost.exe','');
QuarantineFile('0.exe','');
DelAppInit_DLLsByFileName('0.exe');
DeleteFile('C:\WINDOWS\system32\WinDir\Svchost.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6); {удаление всех политик ограничений текущего пользователя}
BC_Activate;
RebootWindows(true);
end.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Код:
Function DelAppInit_DLLsByFileName(Name : string) : boolean;
const
RegKey = 'Software\Microsoft\Windows NT\CurrentVersion\Windows';
var
AppInit_DLLs,Temp_AppInit_DLLs,Temp : string;
n,p : integer;
begin
Result := false;
Name := LowerCase(Name); AppInit_DLLs := ''; n := 0; p := 0;
Temp_AppInit_DLLs := StringReplace(LowerCase(RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs')), ',', ' ') + ' ';
if (Temp_AppInit_DLLs = ' ') or (pos(Name, Temp_AppInit_DLLs) = 0) then exit;
Temp := Temp_AppInit_DLLs;
while pos(Name, Temp) > 0 do
begin
Inc(p);
Delete(Temp, pos(Name, Temp), Length(Name));
end;
Temp := '';
while pos(' ', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) <> '' then
begin
If n > 1 then Temp := Temp + ',';
If pos(':\', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then Temp := Temp + ',';
If pos('.', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) + ',' else Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs));
n := 0;
end;
Delete(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs)); Inc(n);
end;
while (pos(',,', Temp) > 0) or (pos(' ,', Temp) > 0) do Temp := StringReplace(StringReplace(Temp, ',,', ','), ' ,', ',');
while (pos(Copy(Temp, 1, 1), ' ,') > 0) do Delete(Temp, 1, 1);
while (pos(Copy(Temp, Length(Temp), 1), ' ,') > 0) do Delete(Temp, Length(Temp), 1);
Temp_AppInit_DLLs := Temp + ',';
Temp := '';
while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If pos('\', Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) > 0 then
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)) else Temp := Temp + StringReplace(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)), ' ', ',');
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end;
Temp_AppInit_DLLs := Temp + ',';
while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If (Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) = Name) or ((p <= 1) and (ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) = Name)) then
AppInit_DLLs := AppInit_DLLs else AppInit_DLLs := AppInit_DLLs + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end;
If Copy(AppInit_DLLs, Length(AppInit_DLLs), 1) = ',' then Delete(AppInit_DLLs, Length(AppInit_DLLs), 1);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', RegKey, 'AppInit_DLLs', AppInit_DLLs);
If RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs') = AppInit_DLLs then Result := true;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\Program Files\\Outlook Express\setup50.exe','');
DelCLSID('38DWED15-27U1-Q8Y8-PMTK-Y534T5N71VT4');
QuarantineFile('C:\WINDOWS\system32\WinDir\Svchost.exe','');
QuarantineFile('0.exe','');
DelAppInit_DLLsByFileName('0.exe');
DeleteFile('C:\WINDOWS\system32\WinDir\Svchost.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6); {удаление всех политик ограничений текущего пользователя}
BC_Activate;
RebootWindows(true);
end.
Вредный процесс пропал. Ошибок система не выдает. Все работает. ОГРОМНОЕ СПАСИБО!!!
Новые логии
http://www.mediafire.com/?h8s9adpnmgbolaf
http://www.mediafire.com/?99khtnuku92n4tk
http://www.mediafire.com/?6w0w8ym4wulfqji
Новые логии
http://www.mediafire.com/?h8s9adpnmgbolaf
http://www.mediafire.com/?99khtnuku92n4tk
http://www.mediafire.com/?6w0w8ym4wulfqji
Долго искал решение проблемы и не нашел
Windows xp sp3 с обновлениями, все стартует отлично, все работает, как только захожу в папку любую или ctrl-e, в проводнике хожу по папкам -все хорошо, как только закрываю проводник - все виснет, но при этом что не характерно для подобных случаев загрузка процессора не идет , 0%, вызываю диспетчер задач перезапуск explorer.exe и все вновь работает хорошо, на вирусы проверял касперским ничего нет, если пользоваться другим файловым менеджером также проблема не возникает.
Windows xp sp3 с обновлениями, все стартует отлично, все работает, как только захожу в папку любую или ctrl-e, в проводнике хожу по папкам -все хорошо, как только закрываю проводник - все виснет, но при этом что не характерно для подобных случаев загрузка процессора не идет , 0%, вызываю диспетчер задач перезапуск explorer.exe и все вновь работает хорошо, на вирусы проверял касперским ничего нет, если пользоваться другим файловым менеджером также проблема не возникает.
Farazon
Уважаемый, здесь обсуждают конкретно случаи заражения...
По сабжу попробуйте, AVZ.
Все виснет это ничего не открывается? Или же надо reboot делать?
Уважаемый, здесь обсуждают конкретно случаи заражения...
По сабжу попробуйте, AVZ.
Все виснет это ничего не открывается? Или же надо reboot делать?
Трабл: после деятельности комбофикса не работает команда "открыть папку" в юторренте и даунлоад мастере.
densavochkin
Не торопитесь, ещё не всё.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Системное восстановление!!! Это ВАЖНО!
- Выполните скрипт:
Код: Function DelAppInit_DLLsByFileName(Name : string) : boolean;
const
RegKey = 'Software\Microsoft\Windows NT\CurrentVersion\Windows';
var
AppInit_DLLs,Temp_AppInit_DLLs,Temp : string;
n,p : integer;
begin
Result := false;
Name := LowerCase(Name); AppInit_DLLs := ''; n := 0; p := 0;
Temp_AppInit_DLLs := StringReplace(LowerCase(RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs')), ',', ' ') + ' ';
if (Temp_AppInit_DLLs = ' ') or (pos(Name, Temp_AppInit_DLLs) = 0) then exit;
Temp := Temp_AppInit_DLLs;
while pos(Name, Temp) > 0 do
begin
Inc(p);
Delete(Temp, pos(Name, Temp), Length(Name));
end;
Temp := '';
while pos(' ', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) <> '' then
begin
If n > 1 then Temp := Temp + ',';
If pos(':\', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then Temp := Temp + ',';
If pos('.', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) + ',' else Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs));
n := 0;
end;
Delete(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs)); Inc(n);
end;
while (pos(',,', Temp) > 0) or (pos(' ,', Temp) > 0) do Temp := StringReplace(StringReplace(Temp, ',,', ','), ' ,', ',');
while (pos(Copy(Temp, 1, 1), ' ,') > 0) do Delete(Temp, 1, 1);
while (pos(Copy(Temp, Length(Temp), 1), ' ,') > 0) do Delete(Temp, Length(Temp), 1);
Temp_AppInit_DLLs := Temp + ',';
Temp := '';
while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If pos('\', Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) > 0 then
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)) else Temp := Temp + StringReplace(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)), ' ', ',');
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end;
Temp_AppInit_DLLs := Temp + ',';
while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If (Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) = Name) or ((p <= 1) and (ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) = Name)) then
AppInit_DLLs := AppInit_DLLs else AppInit_DLLs := AppInit_DLLs + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end;
If Copy(AppInit_DLLs, Length(AppInit_DLLs), 1) = ',' then Delete(AppInit_DLLs, Length(AppInit_DLLs), 1);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', RegKey, 'AppInit_DLLs', AppInit_DLLs);
If RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs') = AppInit_DLLs then Result := true;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wuauserv','ImagePath', 'REG_EXPAND_SZ','%systemroot%\system32\svchost.exe -k netsvcs');
DelAppInit_DLLsByFileName('C:\WINDOWS\system32\fajohiti.dll');
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Не торопитесь, ещё не всё.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Системное восстановление!!! Это ВАЖНО!
- Выполните скрипт:
Код: Function DelAppInit_DLLsByFileName(Name : string) : boolean;
const
RegKey = 'Software\Microsoft\Windows NT\CurrentVersion\Windows';
var
AppInit_DLLs,Temp_AppInit_DLLs,Temp : string;
n,p : integer;
begin
Result := false;
Name := LowerCase(Name); AppInit_DLLs := ''; n := 0; p := 0;
Temp_AppInit_DLLs := StringReplace(LowerCase(RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs')), ',', ' ') + ' ';
if (Temp_AppInit_DLLs = ' ') or (pos(Name, Temp_AppInit_DLLs) = 0) then exit;
Temp := Temp_AppInit_DLLs;
while pos(Name, Temp) > 0 do
begin
Inc(p);
Delete(Temp, pos(Name, Temp), Length(Name));
end;
Temp := '';
while pos(' ', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) <> '' then
begin
If n > 1 then Temp := Temp + ',';
If pos(':\', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then Temp := Temp + ',';
If pos('.', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) + ',' else Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs));
n := 0;
end;
Delete(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs)); Inc(n);
end;
while (pos(',,', Temp) > 0) or (pos(' ,', Temp) > 0) do Temp := StringReplace(StringReplace(Temp, ',,', ','), ' ,', ',');
while (pos(Copy(Temp, 1, 1), ' ,') > 0) do Delete(Temp, 1, 1);
while (pos(Copy(Temp, Length(Temp), 1), ' ,') > 0) do Delete(Temp, Length(Temp), 1);
Temp_AppInit_DLLs := Temp + ',';
Temp := '';
while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If pos('\', Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) > 0 then
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)) else Temp := Temp + StringReplace(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)), ' ', ',');
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end;
Temp_AppInit_DLLs := Temp + ',';
while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If (Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) = Name) or ((p <= 1) and (ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) = Name)) then
AppInit_DLLs := AppInit_DLLs else AppInit_DLLs := AppInit_DLLs + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end;
If Copy(AppInit_DLLs, Length(AppInit_DLLs), 1) = ',' then Delete(AppInit_DLLs, Length(AppInit_DLLs), 1);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', RegKey, 'AppInit_DLLs', AppInit_DLLs);
If RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs') = AppInit_DLLs then Result := true;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wuauserv','ImagePath', 'REG_EXPAND_SZ','%systemroot%\system32\svchost.exe -k netsvcs');
DelAppInit_DLLsByFileName('C:\WINDOWS\system32\fajohiti.dll');
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
setwolk
Виснет оконная система виндовс, ничего не нажать кроме вызова диспетчера задач и ребута процесса проводника. Особенность - никакой загрузки цп, никаких ошибок.
gjf
Вот логи avz и hijackthis
http://www.mediafire.com/?pdeagmxcyaa9wgb
Виснет оконная система виндовс, ничего не нажать кроме вызова диспетчера задач и ребута процесса проводника. Особенность - никакой загрузки цп, никаких ошибок.
gjf
Вот логи avz и hijackthis
http://www.mediafire.com/?pdeagmxcyaa9wgb
Farazon
Внимательно прочитайте шапку и сделайте то, что там написано.
Внимательно прочитайте шапку и сделайте то, что там написано.
Я новичок но лечусь от вирусов так, у меня кис триал к нему более 10 дополнительных утилит ,запускаю их по очереди для профилактики,затем делаю трассировку касперским
получаю анализ системы отправляю в лабораторию касперского 911 получаю скрипт выполняю скрипт в кис. Пока работает
получаю анализ системы отправляю в лабораторию касперского 911 получаю скрипт выполняю скрипт в кис. Пока работает
wizuwiy58
Ну дык ить, если совесть и некоторые посторонние факторы позволяют, то ничто не мешает стать более "легальным" юзерем продуктов ЛК, воспользовавшись ссответсвующими ветками данного форума
Ну дык ить, если совесть и некоторые посторонние факторы позволяют, то ничто не мешает стать более "легальным" юзерем продуктов ЛК, воспользовавшись ссответсвующими ветками данного форума
wizuwiy58
Sish
Ребята, пожалуйста, пишем по теме, обсуждение в других ветках.
Sish
Ребята, пожалуйста, пишем по теме, обсуждение в других ветках.
Здравстуйте, заранее благодарю за то что вы делаете.
Словил вирус, так получилось, что ни на компьютере, ни где либо ещё, не было антивируса. Вирус встроился в файл службы автообновления и блокировал доступ в интернет для всего кроме себя. Пришлось всё восстанавливать руками. Сейчас (вроде бы) всё работает, но система отказывается запускаться в безопасном режиме.
Логи:
http://www.mediafire.com/file/1zjp0f0e0gt1083/virusinfo_syscure.zip
http://www.mediafire.com/file/dw4ebwqo7d1fica/log.txt
http://www.mediafire.com/file/407sdz96sz3e8ht/info.txt
Словил вирус, так получилось, что ни на компьютере, ни где либо ещё, не было антивируса. Вирус встроился в файл службы автообновления и блокировал доступ в интернет для всего кроме себя. Пришлось всё восстанавливать руками. Сейчас (вроде бы) всё работает, но система отказывается запускаться в безопасном режиме.
Логи:
http://www.mediafire.com/file/1zjp0f0e0gt1083/virusinfo_syscure.zip
http://www.mediafire.com/file/dw4ebwqo7d1fica/log.txt
http://www.mediafire.com/file/407sdz96sz3e8ht/info.txt
LostHorok
Выполните скрипт в AVZ
Код: begin
ExecuteRepair(10);
RebootWindows(true);
end.
Выполните скрипт в AVZ
Код: begin
ExecuteRepair(10);
RebootWindows(true);
end.
Заработал. Спасибо.
Во избежание повторения ситуации теперь черпаю тайные знания по настройке виндовс отсюда.
Во избежание повторения ситуации теперь черпаю тайные знания по настройке виндовс отсюда.
Ну всё.. хватит с меня этого Nod 32, вечно что-нибудь пропускает... Буду искать замену.
Вчера опера не загружалась, выдавала ошибку С++, сегодня загрузилась, звука на ней не стало. Везде есть в ней нету. Переустановка и обновление Flash, не помогло.
При перезагрузки компа, выдаёт синий экран. Прогнал AVPTool'ом нашёл кучу троянов, полечил, удалил...
Когда выполнил лог AVZ, при перезагрузки так же синий экран, с ошибкой 0х0000008E(0xC0000005, 0x8066AEB1, 0xACA15B14, 0x00000000), при включении системы сразу выдал окно "в документах xml (0,0) присутствует ошибка"
Лучше сейчас избавиться от проблемы, пока ещё хуже не стало. Ребята, выручайте!
Win XP 32 SP3
Логи:
avz4
RSIT log
RSIT info
Перезаливаю логи(на всякий случай) на другой ресурс
avz4
RSIT log
RSIT info
Вчера опера не загружалась, выдавала ошибку С++, сегодня загрузилась, звука на ней не стало. Везде есть в ней нету. Переустановка и обновление Flash, не помогло.
При перезагрузки компа, выдаёт синий экран. Прогнал AVPTool'ом нашёл кучу троянов, полечил, удалил...
Когда выполнил лог AVZ, при перезагрузки так же синий экран, с ошибкой 0х0000008E(0xC0000005, 0x8066AEB1, 0xACA15B14, 0x00000000), при включении системы сразу выдал окно "в документах xml (0,0) присутствует ошибка"
Лучше сейчас избавиться от проблемы, пока ещё хуже не стало. Ребята, выручайте!
Win XP 32 SP3
Логи:
avz4
RSIT log
RSIT info
Перезаливаю логи(на всякий случай) на другой ресурс
avz4
RSIT log
RSIT info
Alex_Caspersky
Касперский, а юзаешь НОД! Не патриотично как-то...
Касперский, а юзаешь НОД! Не патриотично как-то...
Ребята жду ответа от вас
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970
Предыдущая тема: BSOD. Постоянный вылет в синий экран, Windows 7
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.