Ощущаю заразу в системе, а где и что не пойму (да и не умею). Поможите люди добри - хлебушком
Ощущаю заразу в системе, а где и что не пойму (да и не умею). Поможите люди добри - хлебушком
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin QuarantineFile('WudfSvc.sys',''); QuarantineFile('WMPNetworkSvc.sys',''); QuarantineFile('D:\WINDOWS\system32\mnmsrvc.exe',''); QuarantineFile('e:\julia\1000\1000.exe',''); ClearHostsFile; end.
Извините, карантин выслал дважды.
Я не дебил - я просто стараюсь! им не быть.
Извините и что мне делать дальше.
D:\WINDOWS\system32\mnmsrvc.exe , e:\julia\1000\1000.exe - чистые ....
WudfSvc.sys , WMPNetworkSvc.sys - поищите через авз - сервис - поиск файлов на диске и пришлите по правилам ....
WudfSvc.sys , WMPNetworkSvc.sys - на диске не нашёл. Да ну и чёрт с ними. Главное пака заразы нет и это главное.
Спасибо за помощь.
Всё таки как здорово осознавать что ты не один и тебе может кто то помочь. Спасибо Вам ребята что Вы есть.
Извините ребята, но всё таки что это (если
можно в двух словах)
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции WSAConnect нейтрализован
Функция ws2_32.dll:WSAStartup (115) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции WSAStartup нейтрализован
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции connect нейтрализован
Функция ws2_32.dll:getpeername (5) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции getpeername нейтрализован
Функция ws2_32.dll:getsockname (6) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции getsockname нейтрализован
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86F651F8 -> перехватчик не определен
Новые логи на всякий случай прикладываю
в двух словах - перехваты от эмулятора дисков ...
Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) werner, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.