-
Junior Member
- Вес репутации
- 56
>>>> Подозрение на маскировку файла процесса: C:\Documents and Settings\Администратор.OFFICE\WINDOWS\system32\sms s.exe
Уважаемые специалисты.
AVZ4 и Kaspersky VRT (в ручном режиме) ругаются на:
09.02.2009 11:43:28 >>>> Подозрение на маскировку файла процесса: C:\Documents and Settings\Администратор.OFFICE\WINDOWS\system32\sms s.exe
Хотя вирусов Kaspersky VRT не находит.
Можете сказать: у меня всё нормально или всё же есть причина для паники?
Заранее спасибо.
Последний раз редактировалось Mielofon; 18.01.2011 в 20:08.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~2\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\37182333.sys','');
QuarantineFile('\SystemRoot\system32\DRIVERS\redbook.sys','');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
DeleteFile('C:\PROGRA~2\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
компьютер будет перезагружен.
Загрузите карантин по Правилам.
Сделайте новые логи
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Выполнил, перезагрузился.
Насчёт карантина: вроде послал, хотя в правилах (http://virusinfo.info/showthread.php?t=1235) рассмотрен вариант с AVZ, а как с Kaspersky VRT быть не сказано (ну или я туплю). Вроде каталог "C:\Documents and Settings\Администратор.OFFICE\Рабочий стол\Virus Removal Tool\is-M8U4R\AVZ_Quarantine\2009-02-09" именно оно и есть.
-
-
-
Junior Member
- Вес репутации
- 56
Повторная проверка после выполнения скрипта-всё ещё есть:
09.02.2009 12:33:51 1.4 Поиск маскировки процессов и драйверов
09.02.2009 12:33:51 Видимый процесс с PID=556, имя = "\Device\HarddiskVolume1\WINDOWS\system32\smss.exe "
09.02.2009 12:33:51 >> обнаружена подмена имени, новое имя = "C:\Documents and Settings\Администратор.OFFICE\WINDOWS\system32\sms s.exe"
09.02.2009 12:33:51 >> Маскировка драйвера: Base=B8E9D000, размер=81920, имя = "\SystemRoot\system32\DRIVERS\redbook.sys"
09.02.2009 12:33:51 >> Маскировка драйвера: Base=B8FB9000, размер=86016, имя = "\SystemRoot\system32\DRIVERS\cdrom.sys"
Последний раз редактировалось Mielofon; 18.01.2011 в 20:08.
-
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.S YS','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\371823 33.sys','');
- чистые.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения вредоносные программы в карантинах не обнаружены
-