Lars55
Странно, что его не увидел МВАМ...
Странно, что его не увидел МВАМ...
» Помощь при лечении компьютера от вирусов
gjf
Написал ведь Lars55, что он нашел его в Автозагрузке
Обычно МВАМ его видит (AVZ наоборот часто пропускает) и это был первый случай в моей практике, когда этого не произошло
Написал ведь Lars55, что он нашел его в Автозагрузке
Обычно МВАМ его видит (AVZ наоборот часто пропускает) и это был первый случай в моей практике, когда этого не произошло
thyrannosaurus
Меня интересует не где он его нашёл, а где был искомый файл на диске.
Меня интересует не где он его нашёл, а где был искомый файл на диске.
gjf
В папке Автозагрузка в профиле пользователя
В папке Автозагрузка в профиле пользователя
gjf
thyrannosaurus
Сам файл (именно *.exe, не ярлык на него) лежал в автозагрузке пользователя, папки других пользователей и AllUsers читые. C:\Users\%UserName%\~.....\programs\startup\igfxtray.exe
Еще такой же файл лежит в C:\Windows\System32\, думаю он настоящий, на всякий проверил его на virustotal.
thyrannosaurus
Сам файл (именно *.exe, не ярлык на него) лежал в автозагрузке пользователя, папки других пользователей и AllUsers читые. C:\Users\%UserName%\~.....\programs\startup\igfxtray.exe
Еще такой же файл лежит в C:\Windows\System32\, думаю он настоящий, на всякий проверил его на virustotal.
Lars55
У Вас сохранился файл из папки автозагрузки? Можете запаролить его и прислать на ящик в шапке темы?
У Вас сохранился файл из папки автозагрузки? Можете запаролить его и прислать на ящик в шапке темы?
Добрый день!
Уважаемые форумчане ситуация такая, нахватался был вирусов, вроде всех вывел, но вот бывает вылазит окошко в котором сообщение "Не найден профиль" и иногда вообще получилось пока всего два раза просит ввести ключ при включении компа. Любую цифру ввел и все. Посылаю логи посмотрите плиз все ли в порядке.
RSID
http://rghost.ru/25100641
http://rghost.ru/25100661
avz
http://rghost.ru/25100681
Уважаемые форумчане ситуация такая, нахватался был вирусов, вроде всех вывел, но вот бывает вылазит окошко в котором сообщение "Не найден профиль" и иногда вообще получилось пока всего два раза просит ввести ключ при включении компа. Любую цифру ввел и все. Посылаю логи посмотрите плиз все ли в порядке.
RSID
http://rghost.ru/25100641
http://rghost.ru/25100661
avz
http://rghost.ru/25100681
sergei1963
Что-то интересное есть
Выполните скрипт:
Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
BC_ServiceKill('unlbyd');
QuarantineFile('C:\WINDOWS\system32\pr2apl8b.exe','');
DeleteFile('C:\WINDOWS\System32\drivers\eybuqrw.sys');
DeleteFile('C:\WINDOWS\system32\pr2apl8b.exe');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Что-то интересное есть
Выполните скрипт:
Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
BC_ServiceKill('unlbyd');
QuarantineFile('C:\WINDOWS\system32\pr2apl8b.exe','');
DeleteFile('C:\WINDOWS\System32\drivers\eybuqrw.sys');
DeleteFile('C:\WINDOWS\system32\pr2apl8b.exe');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
sergei1963
Что значит "получился"? АВЗ не запускается что ли?
Что значит "получился"? АВЗ не запускается что ли?
sergei1963
Так. Авиру и Касперского убрали, оставили Эсет. ОК, Ваш выбор.
Больше вредоносного ничего не вижу.
Уберём хвосты от AVZ. Выполните скрипт:
Код: begin
ExecuteStdScr(6); {удаление всех драйверов и ключей AVZ}
SetAVZPMStatus(false);
RebootWindows(false);
end.
Так. Авиру и Касперского убрали, оставили Эсет. ОК, Ваш выбор.
Больше вредоносного ничего не вижу.
Уберём хвосты от AVZ. Выполните скрипт:
Код: begin
ExecuteStdScr(6); {удаление всех драйверов и ключей AVZ}
SetAVZPMStatus(false);
RebootWindows(false);
end.
gjf
К сожалению файлика больше нету, когда увидел - машинально его прибил (корзины и образов системы нету). Программы для восстановления удаленных файлов его не находят.
К сожалению файлика больше нету, когда увидел - машинально его прибил (корзины и образов системы нету). Программы для восстановления удаленных файлов его не находят.
Lars55
Ну и пёс с ним!
Ну и пёс с ним!
Сделайте лог полного сканирования МВАМ
Вопросов ток два: Процесс висит в памяти или грузится с диска на прямую ???
Логов нет
Чем просмотреть( если процесс полностью загружен в память) и найти запускаемый файл на диске???
Понимание такое: стартует служба или подгружается .DLL или стартует .EXE файл и
погружает процесс, который живет в Ram системе и грузит svchost
Благодарю
Логов нет
Чем просмотреть( если процесс полностью загружен в память) и найти запускаемый файл на диске???
Понимание такое: стартует служба или подгружается .DLL или стартует .EXE файл и
погружает процесс, который живет в Ram системе и грузит svchost
Благодарю
gjf
День добрый!
После лечения вылезло такое изображение
http://rghost.ru/25758791/image.png
Перевод приложил(Не удалось запуститься, и система возвращается к настройке по умолчанию.
Нажмите любую клавишу для продолжения)
Что то еще есть? Проверял МВАМ, ESSET? вирусы не найдены.
День добрый!
После лечения вылезло такое изображение
http://rghost.ru/25758791/image.png
Перевод приложил(Не удалось запуститься, и система возвращается к настройке по умолчанию.
Нажмите любую клавишу для продолжения)
Что то еще есть? Проверял МВАМ, ESSET? вирусы не найдены.
sergei1963
Нет, просто Вы что-то намудрили с настройками в BIOS.
Нет, просто Вы что-то намудрили с настройками в BIOS.
Вообще не лазил.
Но эта как то раз вылезло и пока все, но будет вылазить пришлю логи. ОК?
Но эта как то раз вылезло и пока все, но будет вылазить пришлю логи. ОК?
sergei1963
Цитата:
Используйте антивирь КИС 2012(ключик дам) и проблем не будет..а на сообщение ,которое вылезло одноразово не обращайте внимание.
Цитата:
я думаю - ничего нет!
Цитата:
Что то еще есть? Проверял МВАМ, ESSET? вирусы не найдены.
Используйте антивирь КИС 2012(ключик дам) и проблем не будет..а на сообщение ,которое вылезло одноразово не обращайте внимание.
Цитата:
Что то еще есть?
я думаю - ничего нет!
Проверьте пожалуйста, заранее благодарю.
http://rghost.ru/26018601
http://rghost.ru/26018601
elvin04
AVZ старой версии, базы не обновлены - что проверять? Исправьте ошибки и переделайте логи.
AVZ старой версии, базы не обновлены - что проверять? Исправьте ошибки и переделайте логи.
gjf, Обновил.
http://rghost.ru/26155821
http://rghost.ru/26155821
elvin04
Чисто.
Чисто.
А как RSIT скачать? По ссылке в шапке сайт мне выдает "Forbidden".
а у меня из шапки тянется..хм
вот тут еще варианты где скачать:
http://forum.ru-board.com/topic.cgi?forum=5&topic=35764
вот тут еще варианты где скачать:
http://forum.ru-board.com/topic.cgi?forum=5&topic=35764
http://rghost.ru/26525301
http://rghost.ru/26525551
Периодически не открывает сайты, обычно после первого просмотра.
спасибо
http://rghost.ru/26525551
Периодически не открывает сайты, обычно после первого просмотра.
спасибо
elvin04
Выполните скрипт:
Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_ServiceKill('Windows Service');
DeleteFile('C:\Windows\system32\dllcache\Ratewon.exe');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Выполните скрипт:
Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_ServiceKill('Windows Service');
DeleteFile('C:\Windows\system32\dllcache\Ratewon.exe');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
gjf
Помогаю бесплатно, и говорю что от ru-board. А как мне научится работать со скриптами AVZ? Обучение где проводится?
Помогаю бесплатно, и говорю что от ru-board. А как мне научится работать со скриптами AVZ? Обучение где проводится?
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970
Предыдущая тема: BSOD. Постоянный вылет в синий экран, Windows 7
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.