-
Junior Member
- Вес репутации
- 58
AVZ с последними базами
На AVZ с последними базами я запустил просту проверку диска С, и вот что он нашел (из протокола)
C:\System Volume Information\_restore{F5E35CCF-D564-420B-8D93-873769C34A59}\RP1\A0000321.dll >>> подозрение на Trojan-Downloader.Win32.Agent.lfm ( 0B9974CD 07115878 00284B0A 001D0CB5 12288)
C:\System Volume Information\_restore{F5E35CCF-D564-420B-8D93-873769C34A59}\RP1\A0000680.dll >>> подозрение на Trojan-Downloader.Win32.Agent.lfm ( 0B9974CD 07115878 00284B0A 001D0CB5 12288)
Что с етим делать?
Последний раз редактировалось Rene-gad; 23.09.2008 в 12:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
http://virusinfo.info/showthread.php?t=1235
Там же кстати написано, что системное воостановление надо отключать.
-
-
Junior Member
- Вес репутации
- 58
Так дело в том что восстановление системы давно отключено. И на момент проверке также было отключено!
Может остались какието старые точки восстановления? если да то подскажите пожалуйста как их окончательно удалить!
-
-
-
Junior Member
- Вес репутации
- 58
Результат загрузки
Файл сохранён как 080923_050923_virus_48d8c05337240.zip
Размер файла 233867
MD5 fcb985394b0f163bedbeaf3f0cef39d4
Файл закачан, спасибо!
вот прислал все подозрительные, проверте пожалуйста и скажите что к чему!
-
Сообщение от
Dantist
проверте пожалуйста и скажите что к чему!
Логи по правилам давайте.
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Dantist; 24.03.2009 в 16:45.
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\rhcvcbj0e7e9\rhcvcbj0e7e9.exe','');
QuarantineFile('C:\TEMP\DatB.tmp','');
DeleteFile('C:\TEMP\DatB.tmp');
DeleteFile('C:\Program Files\rhcvcbj0e7e9\rhcvcbj0e7e9.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Файл сохранён как 080923_071856_virus_48d8deb0b6a44.zip
Размер файла 1148
MD5 5be454af29bacb081ae63952a5de491a
все сделал
Последний раз редактировалось Dantist; 24.03.2009 в 16:45.
-
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\System Volume Information\_restore{F5E35CCF-D564-420B-8D93-873769C34A59}\RP1\A0000321.dll');
DeleteFile('C:\System Volume Information\_restore{F5E35CCF-D564-420B-8D93-873769C34A59}\RP1\A0000680.dll');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам.
- Прикрепите логи к новому сообщению
-
-
Junior Member
- Вес репутации
- 58
после последнего скрипта и перезагрузки появилось в системе неизвестное устройство
Последний раз редактировалось Dantist; 24.03.2009 в 16:45.
-
Сообщение от
Dantist
после последнего скрипта и перезагрузки появилось в системе неизвестное устройство
Удалите его.
Выполните скрипт:
Код:
begin
ClearQuarantine;
QuarantineFile('c:\windows\system32\logon.scr','');
end.
Карантин по правилам пришлите.
-
-
Junior Member
- Вес репутации
- 58
А можно спросить что ето вобще за устройство?
Добавлено через 9 минут
Скрипт выполнил успешно но файл чёто в карантин не добавился
Последний раз редактировалось Dantist; 23.09.2008 в 17:29.
Причина: Добавлено
-
Сообщение от
Dantist
А можно спросить что ето вобще за устройство?
Спросить можно. Понятия не имею
Скрипт выполнил успешно но файл чёто в карантин не добавился
Наверно баг АВЗ.
Какие еще проблемы?
-
-
Junior Member
- Вес репутации
- 58
Только что после перезагрузки нортон поймал вот что
'c:\windows\system32\drivers\vdezentm4.sys
Щас слелаю логи
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Dantist; 24.03.2009 в 16:45.
-
Сообщение от
Dantist
Вот логи
Хорошие логи - ничего подозрительного.
-
-
Junior Member
- Вес репутации
- 58
а то устройство которое появлялось, так и должно было быть после скрипта?
-
Сообщение от
Dantist
а то устройство которое появлялось, так и должно было быть после скрипта?
Не должно, но бывает.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
-