AVZ говорит:
C:\WINDOWS\system32\drivers\secdrv.sys >>>>> Rootkit.Win32.Agent.dp удаление запрещено настройкой
Гляжу, не у меня одного такая беда...
AVZ говорит:
C:\WINDOWS\system32\drivers\secdrv.sys >>>>> Rootkit.Win32.Agent.dp удаление запрещено настройкой
Гляжу, не у меня одного такая беда...
Последний раз редактировалось Ивпал; 09.10.2007 в 22:04.
пофиксите ...
выполните скрипт...Код:O4 - HKLM\..\Run: [appdiag] C:\WINDOWS\System32\appconf.exe O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O20 - AppInit_DLLs: kеrnеl32.dll dsqudisp.dll confapp.dll appstat.dll 020 - Winlogon Notify: appmgr - appmgr32.dll (file missing) O20 - Winlogon Notify: atietaxx - atietaxx.dll (file missing) O20 - Winlogon Notify: clicsaml - C:\WINDOWS\System32\clicsaml.dll (file missing) O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll O20 - Winlogon Notify: wmadmsst - C:\WINDOWS\System32\wmadmsst.dll (file missing) O21 - SSODL: Shell - {DD711F3F-19E5-42C1-BBCE-1693D90FF288} - mswshell.dll (file missing) O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll (file missing)
пришлите карантин согласно приложения 3 правил ...Код:begin QuarantineFile('C:\WINDOWS\System32\svshost.dll',''); QuarantineFile('C:\WINDOWS\System32\appconf.exe',''); QuarantineFile('C:\WINDOWS\system32\cssrss.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\ovrscn.dll',''); DeleteFile('C:\WINDOWS\System32\svshost.dll'); BC_DeleteFile('C:\WINDOWS\System32\svshost.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\ovrscn.dll'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\ovrscn.dll'); DeleteFile('C:\WINDOWS\system32\cssrss.exe'); BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe'); DeleteFile('C:\WINDOWS\System32\appconf.exe'); BC_DeleteFile('C:\WINDOWS\System32\appconf.exe'); BC_QrFile('C:\WINDOWS\Temp\startdrv.exe'); BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('Ip6Fw'); BC_DeleteSvc('ICF'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
повторите логи...
О, сколько раз твердили миру: "Ставь СП2 и антивирус нормальный"
Чутка перефразировал классика.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
читать здесь: http://virusinfo.info/forumdisplay.php?f=39
Рекламой ничего не занимаюсь.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Реклама - когда хвалят один из конкурирующих продуктов.Тем не менее SP2 прорекламировали
А SP2 - без вариантов.
I am not young enough to know everything...
Похоже, что-то не срослось
Загадочные и оттого ещё более страшные слова:
модификация машинного кода. Метод не определен., внедрение с байта 6
Последний раз редактировалось Ивпал; 09.10.2007 в 22:04.
1.пофиксите ...
2.Код:O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
Код:begin BC_DeleteFile('C:\WINDOWS\system32\drivers\secdrv.sys'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_Activate; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(9); RebootWindows(true); end.
P.s.Лечение не на долго с такими дырками
Лучше если уж занялись надо SP2 ставить и вагон заплаток после.В любом случае на предприятии за нелегальную винду большие убытки понесёт
Сделать новые логи, как в первом вашем сообщении.
Последний раз редактировалось drongo; 14.09.2007 в 18:09.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Выполните скрипт:
Код:begin DeleteFile('C:\WINDOWS\system32\drivers\secdrv.sys'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
"А беда, хоть тяжела,
Но за острые края задержалася"
SDT найдена (RVA=076EC0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
SDT = 8054AEC0
KiST = 80502588 (284)
Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15
>>> Функция воcстановлена успешно !
Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5
>>> Функция воcстановлена успешно !
Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6
>>> Функция воcстановлена успешно !
Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5
>>> Функция воcстановлена успешно !
Функция MmQuerySystemSize (804D4B2E) - модификация машинного кода. Метод не определен., внедрение с байта 2
>>> Функция воcстановлена успешно !
!!! Внимание !!! Восстановлено 5 функций KiST в ходе работы антируткита
Последний раз редактировалось Ивпал; 09.10.2007 в 22:04.
похоже, что все стерильно ....
на счет перехватов ... можете скачать RKU ... закладка Report, нажать Scan ... очет выложить тут ...
2PavelA, вот увидим лог RKU будем знать точнее ... пока я считаю это особенностями работы AVZ ....
RKU: Nothing detected
на отчет хочется посмотреть ...
Уважаемый(ая) Ивпал, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.