Показано с 1 по 15 из 15.

Завелся антирукит... (заявка № 16316)

  1. #1
    Junior Member Репутация
    Регистрация
    18.12.2007
    Сообщений
    64
    Вес репутации
    60

    Thumbs up Завелся антирукит...

    Добрый день.... Появились две учетные записи /pywl$ и guest/, которые после удаления, появляются вновь.....
    Логи во вложении...
    Последний раз редактировалось Варвара; 28.01.2008 в 17:51.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
     BC_QrFile('C:\WINDOWS\system32\rsvpsp.dll');
     BC_QrSvc('ACPIEC');
     BC_QrSvc('ACPI');
     BC_QrSvc('Null');
     BC_QrSvc('NDProxy');
     BC_QrSvc('mnmdd');
     BC_QrSvc('Fips');
     BC_QrSvc('Beep');
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Последний раз редактировалось Bratez; 12.01.2008 в 16:57.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    18.12.2007
    Сообщений
    64
    Вес репутации
    60
    Ошибка в скрипте: Too many actual parameters в позиции 2:11

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пардон, исправил. Пробуйте снова.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    18.12.2007
    Сообщений
    64
    Вес репутации
    60
    Карантин выслала....

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Карантин пуст. Я немного дополнил скрипт. Отключите интернет и антивирус на время выполнения скрипта и архивирования карантина. Скопируйте заново и выполните скрипт, пришлите карантин по правилам и приложите к сообщению файл boot_clr.log из папки с AVZ.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    18.12.2007
    Сообщений
    64
    Вес репутации
    60
    Карантин выслала, согласно ЦУ... файл во вложении....
    Последний раз редактировалось Варвара; 28.01.2008 в 17:51.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    QuarantineFile \??\C:\WINDOWS\system32\rsvpsp.dll - succeeded
    Src=\??\C:\WINDOWS\system32\rsvpsp.dll
    Infected=bcqr00001.dat
    Virus=BootCleaner quarantine
    Size=90112
    CopyStatus=0
    Ну и где же он? В папке Quarantine\сегодняшнее_число есть файл bcqr00001.dat?
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    18.12.2007
    Сообщений
    64
    Вес репутации
    60
    Отправляю, согласно правил.....

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Файл чистый.

    Сделайте в AVZ
    1. Файл - Стандартные скрипты - отметить #1 - Выполнить.
    2. Сервис - Поиск файлов на диске, отметьте в качестве области поиска папку C:\Windows и поищите следующие файлы:
    dmload.sys
    ftdisk.sys
    isapnp.sys
    PartMgr.sys
    Beep.sys
    Fips.sys
    mnmdd.sys
    NDProxy.sys
    Null.sys
    ParVdm.sys
    ACPI.sys
    ACPIEC.sys
    Все что найдется добавьте в карантин и пришлите по правилам.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    18.12.2007
    Сообщений
    64
    Вес репутации
    60
    Сделала, карантин выслала....

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Карантин опять тот же самый, с файлом bcqr00001.dat, который rsvpsp.dll.
    Из списка ничего не нашлось, или вы что-то путаете?
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    18.12.2007
    Сообщений
    64
    Вес репутации
    60
    dmload.sys
    ftdisk.sys
    isapnp.sys
    PartMgr.sys
    Beep.sys
    Fips.sys
    mnmdd.sys
    NDProxy.sys
    Null.sys
    ParVdm.sys
    ACPI.sys
    ACPIEC.sys
    все, кроме последнего находит... Я отмечаю галочкой, жму копировать отмеченные файлы в карантин.... Но в карантин, НИЧЕГО не добавляется

    Добавлено через 1 минуту

    Цитата из AVZ
    Ошибка карантина файла, попытка прямого чтения (dmload.sys)
    Карантин с использованием прямого чтения - ошибка
    Последний раз редактировалось Варвара; 12.01.2008 в 18:10. Причина: Добавлено

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Понятно. Значит эти файлы проходят по базе безопасных. Таким образом, увы, ничего подозрительного в вашей системе не просматривается.
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    18.12.2007
    Сообщений
    64
    Вес репутации
    60
    Попробрвала удалить учетные записи /pywl$ и guest/, после удаления и перезагрузки, учетные записи не появились.... Благодарю....

  • Уважаемый(ая) Варвара, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Завелся вредитель
      От truesergun в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.11.2011, 20:49
    2. Завелся marioforever.exe
      От bbkanal в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.03.2009, 14:38
    3. Завелся Downloader
      От Варвара в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 03:38
    4. Завелся руткит?
      От Helgin в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 02:57
    5. Завелся троян.
      От Дмитрий в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 01:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00752 seconds with 19 queries