-
Junior Member
- Вес репутации
- 55
AVZ Первый раз нашел 91 опасный обхект, второй не нашел, что не так?
День добрый!
Появился вопрос, вчера решил протестить систему с пом AVZ. Поставил онаружение RootKit и клавиатурных шпионов(т.к. есть подозрение). Нашел 91 опасный объект, лечение не стояло, сегодня не находит ни одного.
Может что то я не так выставляю в настройках?
Подскажите кто может.
Спасибо заранее.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А что он там находил?
Сейчас вас что-то беспокоит?
И вообще выполните правила...
-
-
Junior Member
- Вес репутации
- 55
Логи
Извините, что сразу все не написал.
Ситуация такая. У меня дома два ноута соединены в сеть, у жены XP у меня Vista. Мой выходит в инет через комп жены. Не так давно у нее начались проблемы, сначала кто то с ее аськи зашел и по контакт листу разослал всякий спам со ссылками, потом IE с любой страницы перенаправлялся на порно сайт, систему я вчера ей полностью переустановил, ибо давно напрашивалось сие действо.
Далее решил проверить систему у себя. поставил себе NOD, обновил базы нод ругнулся на вирусы в паре кряков и все.
Далее самое интересное. Скачал AVZ вчера, обновил базы, просканил без лечения, он выдал 91 файл, все с названием Toolbar.exe, путь C:\User\UserName\appdata\Local\Application data\\Application data\\Application data\........\Temp\Toolbar.exe(где многоточие меняется количество \Application data\). Сегодня решил их убить, сканю с помощью AVZ, не находит ничего, базы обновляться перестали в AVZ, выдается ошибка. Далее при загрузке Nod ловит событие доступа к компу жены(во вложеном jpg файле 111). При перезагрузке вылетает сообщение "Ошибка приложения egui.exe" Эта программа препятствует перезагрузке компьютера. И окно "Инструкция по адресу "0х204675с6" обратилась к памяти по адресу "0х204675с6". Память не может быть Read. (Это стало происходить после проверки AVZом).
Логи:
111.jpg
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
Помогите чем можете. Очень надеюсь.
Спасибо.
Последний раз редактировалось strangerru; 19.04.2009 в 17:32.
-
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\9226~1\AppData\Local\Temp\AEMHJ.exe','');
QuarantineFile('C:\Users\9226~1\AppData\Local\Temp\RVNTGUTKHO.exe','');
DeleteFile('C:\Users\9226~1\AppData\Local\Temp\RVNTGUTKHO.exe');
DeleteFile('C:\Users\9226~1\AppData\Local\Temp\AEMHJ.exe');
BC_Importall;
BC_DeleteSvc('RVNTGUTKHO');
BC_DeleteSvc('AEMHJ');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=44128
очистите темп-папки.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 55
Скрипт выполнил. Файл с карантином закачал.
Выкладываю новые логи(при создании первого убрал антивирус из автозагрузки вообще, т.к. не нашел у него кнопки выход, странно в старой версии была, теперь нет. В прошлый раз отключал каждый раздел у него отдельно и фаервол и сканер и т.д., но сам антивирус в трее остался, может что то не так делал и это поможет).
Все равно пытается коннектиться куда то, тот же svchost.exe, пытается по нескольким адресам коннектиться.
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
Спасибо.
-
-
-
Junior Member
- Вес репутации
- 55
Спасибо за помощь.
А не подскажите такую вещь, после включения компа фаервол отлавливает попытки подключения к удаленному компьютеру. Несколько скриншотов во вложениях.
1.jpg
2.jpg
3.jpg
4.jpg
5.jpg
Это нормальные процессы, или какая то бяка что то пытается отправить?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-