Диск G--это флешка?
Диск G--это флешка?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Да, это флэшка. Так что с файлом C:\WINDOWS\system32\Drivers\utg4nze1.sys appears to contain: ROOTKIT.AGENT и удалился ли тот файл, скрипт на удаление которого я делал?Сообщение от Шапельский Александр
Подсоедините флешку и сделайте лог полного сканирования МВАМ и
virusinfo_sysсure.zip
Этот драйвер не удаляли. Подозреваю, что это ложное срабатывание.Так что с файлом C:\WINDOWS\system32\Drivers\utg4nze1.sys appears to contain: ROOTKIT.AGENT и удалился ли тот файл, скрипт на удаление которого я делал?
NOVG.EXE' удалился или нет?
Да.
Замечательно. Остальное делаю. Но из-за небыстрого выполнения virusinfo_sysсure.zip и сканирования MBAM логи скорее всего выложу завтра
Вчера я прогнал компьютер утилитой KidoKiller Утилита всё проверила, выдала, что угроз 0, написала в конце "Нажмите любую клавишу" и зависла.
Тогда я прогнал компьютер прораммой TDSKiller
Она нашла подозрительный файл HKLM\SYSTEM\ControlSet001\services\sptd Я нажал удалить (слова лечить не было). И после этого компьтер стал зависать сразу после загрузки в обычный режим. Тогда я в безопасном режиме выполнил в AVZ virusinfo_sysсheck.zip и когда перезагрузился в обычный режим как только высветилась иконка моего антивирусника (у меня Nod 32) я окрыл окно антивирусника и отрубил всю защиту. И зависон сразу после загрузки в обычном режиме прекратился. Я тут же снова врубил всю защиту антивирусника, но комп не зависал больше и пока пробем не наблюдаю. Сейчас прикреплю все логи, в том числе и лог TDSKiller Что это было?
Она нашла подозрительный файл HKLM\SYSTEM\ControlSet001\services\sptdЭто вполне легитимный сервис и драйвер sptdЧто это было?
Почему компьютер завис?
Я Вас просил сделать лог МВАМ и лог virusinfo_sysсure.zip с подсоединенной флешкой.
Логи как раз сейчас делаются. Скоро выложутся.
Выкладываю логи:
Кстати сегодня AVZ стал выдавать такие строки, хотя раньше их не писал:
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [AE16B16D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [AE16AFC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
Проверьте логи, и скажите, пожалуйста, есть ли вирусы, и почему вчера зависал компьютер?
Подсоедините флешку.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('G:\autorun.inf',''); DeleteFile('G:\autorun.inf'); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
А кроме этого файла всё чисто? Так почему же вис компьютер?
Да, кроме этого файла плохого не увидел.А кроме этого файла всё чисто?
Выполните следующее:
1. кнопка Пуск - Выполнить ввести cmd нажать Enter;
2. ввести chkdsk c: /f /r нажать Enter. Выскочит сообщение вида:"Невозможно выполнить команду chkdsk ......"
Нажмите клавишу Y;
3. введите exit затем нажать Enter;
4. перезагрузите ПК, во время перезагрузки будет выполнена проверка и исправление ошибок.
Карантина опять нет, но есть два такие файла: bcqr00001.ini и bcqr00002.ini
Добавлено через 2 минуты
Закачал архив с этими файлами по ссылке "Прислать запрошенный карантин"
Файл сохранён как 111027_104244_quarantine_1_4ea935a490de4.zip
Размер файла 560
MD5 0d5f3b3589ef59cb21203b2732c6f800
Добавлено через 1 час 37 минут
Ну так что?
Добавлено через 1 час 29 минут
Ну что там?
Добавлено через 3 часа 52 минуты
Ну так как?
Последний раз редактировалось Паттттт; 27.10.2011 в 21:43. Причина: Добавлено
В карантине пусто. По логам подозрительного не обнаружил.
DAEMON Tools переустановите.
Сейчас симптомы есть какие-нибудь?
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Пока симптомов нет. А что это было?
Добавлено через 4 минуты
И что это за строкипоявились в AVZ?
Добавлено через 28 секунд
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [AE16B16D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [AE16AFC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
И что это за строкипоявились в AVZ?
Последний раз редактировалось Паттттт; 27.10.2011 в 22:34. Причина: Добавлено
Мусор в реестре.
Кроме того вы удалили драйвер SPTD, без которого DAEMON Tools не будет (или будет некорректно) работать.
HASP Emulator.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [AE16B16D] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [AE16AFC2] C:\WINDOWS\system32\drivers\Haspnt.sys, драйвер опознан как безопасный
А почему появились эти строки? Их раньше не было?
Уважаемый(ая) Паттттт, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
