firewall засек вирусную активность на компе, комп был пролечен встроенным ESET NOD 32, свежими AVZ, CureIt, AVPTool. Был выявлен и удален ряд вирусов. Но после этого все равно остаются вирусные следы.
firewall засек вирусную активность на компе, комп был пролечен встроенным ESET NOD 32, свежими AVZ, CureIt, AVPTool. Был выявлен и удален ряд вирусов. Но после этого все равно остаются вирусные следы.
Пожелание: Обновите оффлайн-версию правил rules.zip "Правила! Читать перед запросом о помощи!", а то там старый вариант.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\glbuh\LOCALS~1\Temp\winlogon.exe',''); DeleteFile('C:\DOCUME~1\glbuh\LOCALS~1\Temp\winlogon.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
После выполнения скрипта карантин пуст. Потом я попытался вручную поместить файл C:\DOCUME~1\glbuh\LOCALS~1\Temp\winlogon.exe в карантин. Ответ:
Ошибка карантина файла, попытка прямого чтения (C:\DOCUME~1\glbuh\LOCALS~1\Temp\winlogon.exe)
Карантин с использованием прямого чтения - ошибка
Затем я проверил и в папке C:\DOCUME~1\glbuh\LOCALS~1\Temp\ нет файла winlogon.exe
Логи повторите...
Логи заново
В логах чисто...
Ну а как же
"1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryExW (580) перехвачена, метод APICodeHijack.JmpTo[600D1EFF]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:SystemFunction035 (619) перехвачена, метод APICodeHijack.JmpTo[600D1541]
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[67001634]
Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[670017CF]
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text"
Фразы: "Функция *** перехвачена, метод APICodeHijack.JmpTo" очень подозрительные! Не припоминаю, чтобы это было раньше...
Это нормально, перехваты функций вызывает защитный софт...
Уважаемый(ая) mars30, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.