-
Junior Member
- Вес репутации
- 60
перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys
Помогите разобраться.
Сначала при загрузке системы выскакивала рамка "startdrv.exe выполнила ошибку". почитал форум, скачал модуль AVZ и выполнил скрипт. Рамка пропала. Потом выполнил скрипт для runtime2.sys. Теперь остался только Vax347b.sys. Не могу от него избавиться. Посмотрите пожалуйста, может у меня там что другое сидит. Все выполнил согласно правил.
Последний раз редактировалось kot14; 04.12.2007 в 22:57.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Чужими скриптами пользоваться нехорошо. Результаты могут быть непредсказуемыми. Лучше бы базы обновили AVZ
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
пофиксите ....
Код:
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\svchb.dll
O20 - Winlogon Notify: igfxnet - avi32.dll (file missing)
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
выполните скрипт....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\CPBDBJHS.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\CQTLCQCLG.exe','');
QuarantineFile('avi32.dll','');
QuarantineFile('C:\WINDOWS\system32\svchb.dll','');
QuarantineFile('sttray.exe','');
QuarantineFile('ovrscn.dll','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\WINDOWS\system32\svchb.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил....
Последний раз редактировалось V_Bond; 04.12.2007 в 21:09.
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
PavelA
Чужими скриптами пользоваться нехорошо. Результаты могут быть непредсказуемыми. Лучше бы базы обновили AVZ
Конечно обновилю А скрипт был именно по этой проблеме.
-
где карантин после скипта ?
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
V_Bond
пофиксите ....
Код:
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\svchb.dll
O20 - Winlogon Notify: igfxnet - avi32.dll (file missing)
O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing)
выполните скрипт....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QauarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\CPBDBJHS.exe','');
QauarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\CQTLCQCLG.exe','');
QauarantineFile('avi32.dll','');
QuarantineFile('C:\WINDOWS\system32\svchb.dll','');
QurantineFile('sttray.exe','');
QuarantineFile('ovrscn.dll','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\WINDOWS\system32\svchb.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил....
выдал ошибку "Ошибка: Undeclared identifier: 'QauarantineFile' в позиции 5:16"
Добавлено через 11 минут
При выполнении выдал:
Ошибка скрипта: Undeclared identifier: 'QauarantineFile', позиция [5:16]
до этого пофиксил но не перегружался.
Последний раз редактировалось kot14; 04.12.2007 в 21:03.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 60
-
-
-
Junior Member
- Вес репутации
- 60
Новые логи
Вот новые логи.
Последний раз редактировалось kot14; 06.12.2007 в 14:15.
-
выполните скрипт...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('sttray.exe','');
QuarantineFile('C:\WINDOWS\system32\7z.exe','');
BC_ImportAll;
ClearHostsFile;
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил....
-
-
Junior Member
- Вес репутации
- 60
Скрипт выполнил. карантин закачал.
-
подчистим мусор ....
выполните скрипт ....
Код:
begin
DeleteFile('C:\WINDOWS\system32\7z.exe');
DeleteFile('sttray.exe');
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи.....
-
-
Junior Member
- Вес репутации
- 60
-
в логах чисто .... какие-то проблемы остались ?
-
-
Junior Member
- Вес репутации
- 60
Единственное что волнует это эти записи:
Функция NtClose (19) перехвачена (805BAEB4->BA78DC5, перехватчик C:\WINDOWS\system32\Drivers\Vax347b.sys
Это нормально для моей системы?
система специально для Пинакла. Не хочется аутпост ставить. Или лучше советуете поставить?
-
это нормально для любой системы на которой установлен Alcohol 120%. .....
-
-
Junior Member
- Вес репутации
- 60
Огромнейшее спасибо. БЛАГОДАРЮ.
Надеюсь Премия Enthusiast Internet Award будет Ваша.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
-