Как только захожу в интернет, вирус начинает постоянно что-то делать ... trojan.generic вот вижу ... Два дня пытался удалить все вирусные файлы путем создания скрипта DeleteFile , которые распознала ваша программа AVZ, но это не помогает, видимо потому, что в реестре не все получается вернуть в работающее состояние ...
Значок подключения интернета в нижнем правом низу экрана иссчезает, хотя к интернету я подключен
Последний раз редактировалось sanko; 13.07.2008 в 20:24.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
"Результат загрузки
Файл сохранён как 080713_104711_2008-07-13_487a237f6272e.zip
Размер файла 529359
MD5 1a2cb58c951bc55574f2a782747addd3
Файл закачан, спасибо!"
Отправил карантин, только запаролить не получилось.
Временные файлы очистил. Базы AVZ обновил. Новые логи прикреплены.
Жду дальнейших указаний, заранее спасибо)
Нажимаю файл - добавление в карантин по списку,
a.sys
Процесс добавления файлов запущен
Процесс добавления файлов завершен
в окне AVZ:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\a.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\a.sys)
Карантин с использованием прямого чтения - ошибка
дальше жму "Файл" - >"Просмотр карантина".
"Справа в списке файлов отметьте те файлы которые хотите выслать" - НО a.sys там нет((( может я не там смотрю?
Выполнил ... Конечно остались ... ничего и не изменилось по-моему ... В правом нижнем углу не выводятся текущие подключения к интернету или подключения flash-накопителей ... при сканировании AVZ каждый раз после перезагрузки компьютера изменяет половину ключей реестра:
Функция NtAlertResumeThread (0C) перехвачена (8062E4EC->820E4380), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtAlertThread (0D) перехвачена (8057998C->820DCA00), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtAllocateVirtualMemory (11) перехвачена (80568777->82097D20), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtClose (19) перехвачена (805675D9->F84FB02, перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtConnectPort (1F) перехвачена (80598C34->82112CB, перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateKey (29) перехвачена (8056F063->F84FAFE0), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateMutant (2B) перехвачена (80578E73->820A9F10), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreatePagingFile (2D) перехвачена (805BD9D8->F84EEB00), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (35) перехвачена (8057F262->8219DE7, перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (8056F76A->F84EF5DC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F84FB120), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtFreeVirtualMemory (53) перехвачена (80568FC4->82096F0, перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtImpersonateAnonymousToken (59) перехвачена (80596925->82308DC, перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtImpersonateThread (5B) перехвачена (8057C33A->81F4619, перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtMapViewOfSection (6C) перехвачена (80573C04->82147A10), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenEvent (72) перехвачена (80580306->822082B0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenFile (74) перехвачена (805715E7->F84EEB40), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (805684D5->F84FAFA4), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcessToken (7B) перехвачена (8056C8FC->820D7DB0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThreadToken (81) перехвачена (8056C383->82096A30), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtProtectVirtualMemory (89) перехвачена (8057494D->F2B9D240), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryDefaultLocale (8F) перехвачена (8056676E->F8333790), перехватчик C:\WINDOWS\system32\Drivers\SysPlant.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (8056F473->F84EF5FC), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8056B9A8->F84FB076), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtResumeThread (CE) перехвачена (8057F8D5->82381500), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetContextThread (D5) перехвачена (8062C85B->820D86A, перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetInformationProcess (E4) перехвачена (8056C608->82096B5, перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetInformationThread (E5) перехвачена (80576E5D->820967E0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemPowerState (F1) перехвачена (8066608F->F84FA550), перехватчик C:\WINDOWS\system32\Drivers\a347bus.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendProcess (FD) перехвачена (8062E431->82207420), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendThread (FE) перехвачена (805DC61B->820DAF30), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (8058AE1E->822269A, перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (102) перехвачена (8057E97C->820D9260), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtUnmapViewOfSection (10B) перехвачена (80573789->820D85D0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtWriteVirtualMemory (115) перехвачена (8057C123->82097AA0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
!!! Внимание !!! Восстановлено 35 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
В TEMP появляются h2r9.tmp и r2h8.tmp.
А при сканировании в AVZ четвертым стандартным скриптом (скрипт сбора неопознанных и подозрительных файлов):
Выполняется автокарантин
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\dump_nvatabus.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (deskpan.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServe r {00E7B358-F65B-4dcf-83DF-CD026B94BFD4})
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (System)
Карантин с использованием прямого чтения - ошибка
Автокарантин завершен
Файлы System,dump_WMILIB.SYS, dump_nvatabus.sys, shimgvw.dll удалить не получается, всегда после перезагрузки восстанавливаются
Ладно... я не сильно в этом разбираюсь... но раньше не было никакого красного текста после проверок ...
Ответьте только на один вопрос. Почему в правом нижнем углу не отображаются текущие подключения к интернету? И вообще отключиться от него никак нельзя если зашел, т.к. компьютер думает, что я не в сети.
Скрин после того как подключился прикреплен.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\TrayNotify
удалите параметр IconStreams
при помощи диспетчера задач перезапустите explorer.exe ...
Не понял как перезапустить explorer.exe через диспетчер задач. После удаления IconStreams в правом нижнем углу текущие подключения так и не отображаются, когда делаешь перезагрузку компьютера - IconStreams восстанавливается вновь.(((
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: