Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Маскировка всех процессов (заявка № 21623)

  1. #1
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    99
    Вес репутации
    33

    Thumbs up Маскировка всех процессов

    Здраствуйте! У меня такая проблема: при проверке AVZ пишет "маскировка процесса" причем всех, которые выполняются.
    Также пишет "Нарушение ассоциации SCR файлов". Посмотрите пожалуйста логи.
    Последний раз редактировалось Vidok; 17.04.2008 в 15:56.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ...
    Код:
    begin
     QuarantineFile('C:\DOCUME~1\9226~1\LOCALS~1\Temp\TWgMy58d.sys','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  4. #3
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    99
    Вес репутации
    33
    Карантин прислал, как просили

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Карантин пустой. Поищите при помощи АВЗ сервис--поиск файлов на диске TWgMy58d.sys, Если найдётся, тогда вышлите согласно приложения 2 правил.

  6. #5
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    99
    Вес репутации
    33
    Не нашел

  7. #6
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    99
    Вес репутации
    33
    Вот новые логи
    Последний раз редактировалось Vidok; 26.06.2008 в 00:44.

  8. #7
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    99
    Вес репутации
    33
    Ну вы мне поможете нет?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Мне думается это у вас файрвол шалит Для проверки моей гипотезы, надо деинсталировать файрвол , перегрузиться и сделать свежие логи.

  10. #9
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    99
    Вес репутации
    33
    Вряд ли. Файервол я поставил уже после создания этой темы. Так что он, я думаю, не причем

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    ничего подозрительного в логах нет ...
    Spybot - удалите - вещица бесполезная при наличии такого серьезного антивируса как у вас ...
    virusinfo_syscheck.zip повторите ....

  12. #11
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    99
    Вес репутации
    33
    Не думаю что spybot бесполезен: DrWeb ничего не видел, проверил spybot'ом и он нашел червей в ключах реестра.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    черви в ключах .... ... лешие из реестра .... интересно что дальше ... ?

  14. #13
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    99
    Вес репутации
    33
    То бишь не может быть такого??? Что тогда находит spybot???

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    находит ключ реестра в чем честно и признается ... причем чаще всего пустой ...

  16. #15
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    99
    Вес репутации
    33
    Что то я вообще не догоняю... То вы рекомендуете эту программу (http://virusinfo.info/showthread.php?t=1431), то говорите удалить ее... Определитесь уже.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    дату посмотрите ... сейчас это не актуально ...
    весьма интересная информация ... http://virusinfo.info/showthread.php?t=2800

  18. #17
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    99
    Вес репутации
    33
    Ну там тоже тесты не первой свежести , но наскоко я понял мне вполне хватит одного DrWeb'а. Ну и Agnitum Firewall. Кстати вот мои новые логи, посмотрите пожалуйста, мне не нравится там такие фразы при проверке:

    \FileSystem\ntfs[IRP_MJ_CREATE] = 825621E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 825621E8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 825621E8 -> перехватчик не определен

    И их там не мало
    Последний раз редактировалось Vidok; 26.06.2008 в 00:44.

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    эти перехваты от DAEMON Tools ...
    в качестве фаервола поставте бесплатный comodo - отличный фаервол ...

  20. #19
    Junior Member Репутация
    Регистрация
    06.02.2008
    Сообщений
    99
    Вес репутации
    33
    Раньше не было такого... И если мне не изменяет память, то вот эта информация отображала перехваты DAEMON Tools

    \driver\tcpip[IRP_MJ_CREATE] = F7397BD4 -> C:\WINDOWS\system32\DRIVERS\afw.sys
    \driver\tcpip[IRP_MJ_DEVICE_CONTROL] = F7397F0C -> C:\WINDOWS\system32\DRIVERS\afw.sys
    \driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = F7397D8E -> C:\WINDOWS\system32\DRIVERS\afw.sys
    \driver\tcpip[IRP_MJ_CLEANUP] = F7397CC2 -> C:\WINDOWS\system32\DRIVERS\afw.sys

    Но comodo наскоко я знаю только с англ интерфейсом Хотя может и ошибаюсь

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Код:
    \driver\tcpip[IRP_MJ_DEVICE_CONTROL] = F7397F0C -> C:\WINDOWS\system32\DRIVERS\afw.sys
    \driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = F7397D8E -> C:\WINDOWS\system32\DRIVERS\afw.sys
    \driver\tcpip[IRP_MJ_CLEANUP] = F7397CC2 -> C:\WINDOWS\system32\DRIVERS\afw.sys
    это от аутпоста ...
    comodo 2,4 русифицирован ....

  • Уважаемый(ая) Vidok, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Маскировка процессов
      От ВасилийПупкин в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.01.2012, 14:37
    2. маскировка процессов
      От Crow54 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.04.2011, 19:06
    3. Ответов: 10
      Последнее сообщение: 31.08.2009, 01:56
    4. Маскировка процессов
      От SinklerFist в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.12.2008, 22:15
    5. Маскировка процессов
      От kekezor в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 27.07.2008, 22:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01075 seconds with 21 queries