Стоит Антивирь TrendMicro Officescan с последними обновами.
Че делать с этими привидениями - ума не приложу. Подскажите.
ЗЫ: W2K3 SP2
Стоит Антивирь TrendMicro Officescan с последними обновами.
Че делать с этими привидениями - ума не приложу. Подскажите.
ЗЫ: W2K3 SP2
Нужно еще 2 лога, посмотрите правила
Добавлено через 7 минут
На основе имеющихся данных:
Пришлите карантин согласно приложению 3 Правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('c:\windows\system32\DRIVERS\lirsgt.sys',''); QuarantineFile('c:\windows\System32\Drivers\aog6lo80.SYS',''); QuarantineFile('c:\windows\system32\DRIVERS\atksgt.sys',''); QuarantineFile('c:\windows\temp\ec5ea9.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Затем выполните скрипт:
Скажите то, что получите.Код:var i : integer; begin RefreshProcessList; AddToLog('Количество процессов = '+IntToStr(GetProcessCount)); for i := 0 to GetProcessCount - 1 do begin AddToLog(IntToStr(GetProcessPID(i)) + ' '+ GetProcessName(i)); end; end.
Но 2 основных лога надо обязательно сделать
Последний раз редактировалось rubin; 06.11.2007 в 19:37. Причина: Добавлено
LIRSGT.SYS is related to Tages copy protection system.
ATKSGT.SYS is related to protection of game CDs.
С сайта http://www.greatis.com
c:\windows\temp\ec5ea9.exe - это компонент антивиря.
скоро пришлю логи
Пришлите карантин, как Вас просили...
Вот все что ты просил и результат последнего скрипта.
В связи с тем, что Тренд создает каждый раз новое имя процесса - ec5ea9.exe в карантин поместить не удалось, помещен его аналог.
Посмотрим закарантиниться ли...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('c:\windows\temp\rsb816.exe',''); QuarantineFile('c:\windows\system32\vmnetdhcp.exe',''); BC_ImportQuarantineList; BC_QrFile('c:\windows\temp\rsb816.exe'); BC_QrFile('c:\windows\system32\vmnetdhcp.exe'); BC_Activate; RebootWindows(true); end.
Добавлено через 43 секунды
Потом пришлите карантин по ссылке вверху
Последний раз редактировалось rubin; 07.11.2007 в 19:08. Причина: Добавлено
Выслал, но добавлю:
c:\windows\temp\rsb816.exe - карнтинить бесполезно, т.к. этот компонент антивиря после перезагрузки меняет имя.
c:\windows\system32\vmnetdhcp.exe - а это DHCP-сервер виртуального хаба VMWare Server, который у меня установлен.
GTJafar у вас работает некая программа thinclientserver. Судя по названию, это сервис терминальных клиентов. Может, все эти безымянные процессы ее рук дело?
Удалил thinclientserver, перегрузился - процессы остались. Заглянул на еще один сервак, где он тоже установлен - пустые процессы тоже есть. Как их удалить???
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) GTJafar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.