Показано с 1 по 10 из 10.

Модификация машинного кода (заявка № 18248)

  1. #1
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    5
    Вес репутации
    59

    Thumbs up Модификация машинного кода

    AVZ обнаруживает модификацию машинного кода, функцию восстанавливает, но после перезагрузки всё возвращается в прежнее состояние. В списке подозрительных объектов появляется файл Otl48.sys (перехватчик KernelMode, подозрение на RootKit), но после удаления файла и следующей перезагрузки AVZ вновь обнаруживает этот файл.
    Буду признателен, если существует вариант лечения.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Otl48\0000', 'CSConfigFlags', '1');
     SetServiceStart('msupdate', 4);
     QuarantineFile('c:\windows\system32\mssrv32.exe','');
     DeleteFile('c:\windows\system32\mssrv32.exe');
     BC_QrFile('C:\WINDOWS\System32\drivers\Otl48.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\Otl48.sys');
     BC_DeleteSvc('Otl48');
     BC_DeleteSvc('msupdate');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    5
    Вес репутации
    59
    Файл карантина сейчас отправлю через специальную форму.

    Файл Otl48.sys теперь не обнаруживается, но Windows повёл себя интересным образом - после перезагрузки автоматически запускается "мастер нового оборудования" и предлагает "установить программное обеспечение для указанного устройства: Нет данных" Выбрал "Больше не напоминать об установке этого оборудования".

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в карантине пусто .... ждем новые логи ...

  6. #5
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    5
    Вес репутации
    59
    В карантине был только bcqr00001.ini, а логи забыл отправить, исправляюсь.
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ...
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\windres.exe,C:\WIN DOWS\system32\gcc.exe,
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\drivers\Otl48.sys');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи начиная с пункта 10 правил ....

  8. #7
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    5
    Вес репутации
    59
    Готово...
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в логах чисто ....

  10. #9
    Junior Member Репутация
    Регистрация
    18.02.2008
    Сообщений
    5
    Вес репутации
    59
    Работать волшебником - это отличная работа. Спасибо Вам и удачи во всём!

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Aлeкceй, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Модификация машинного кода.
      От Quit в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 03.11.2010, 12:40
    2. Модификация машинного кода
      От ssh в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.07.2009, 00:21
    3. Модификация машинного кода
      От Ивпал в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 05:32
    4. Модификация машинного кода. Что это?
      От anyskin в разделе Технические и иные вопросы
      Ответов: 4
      Последнее сообщение: 04.02.2009, 00:09
    5. Модификация машинного кода.
      От ViVeda в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 13.02.2008, 18:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00433 seconds with 20 queries