GUIBACK.DLL >>> подозрение на Backdoor.Win32.Grisch.00 ( 0801C861 073F4C08 001D9B9A 001BB78C 306176)

**кубик рубис** · 11.05.2010, 20:27

Здравствуйте!
Прошу обьяснить некоторые моменты просто проверки AVZ (файл avz_log.txt)
1) Что озночает в результатах проверки в пункте(пожалуйста обьясните чтоб понятно было):
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 873371F8 -> перехватчик не определен-(там таких много)
2) Потом идет пункт 3:
Сканирование дисков
C:\Documents and Settings\user\Мои документы\Наша семья\папа\проги\Chess_new-rus\Chess_new-rus\GUIBACK.DLL >>> подозрение на Backdoor.Win32.Grisch.00 ( 0801C861 073F4C08 001D9B9A 001BB78C 306176)
3) Далее пункт:Прямое чтение
C:\WINDOWS\system32\drivers\sptd.sys
E:\System Volume Information\_restore{486F90E4-9B40-413E-BFEE-B04596A58D08}\RP6\A0014337.DLL >>> подозрение на Backdoor.Win32.Grisch.00 ( 0801C861 073F4C08 001D9B9A 001BB78C 306176)
E:\System Volume Information\_restore{486F90E4-9B40-413E-BFEE-B04596A58D08}\RP6\A0014347.DLL >>> подозрение на Backdoor.Win32.Grisch.00 ( 0801C861 073F4C08 001D9B9A 001BB78C 306176)
Сама программа "Шахматы с Гарри Каспаровым" установлена на диске С,и играем без проблем.
4)Потом делаю логи по вашим правилам и в результатах не вижу: Прямое чтение
C:\WINDOWS\system32\drivers\sptd.sys
E:\System Volume Information\_restore{486F90E4-9B40-413E-BFEE-B04596A58D08}\RP6\A0014337.DLL >>> подозрение на Backdoor.Win32.Grisch.00 ( 0801C861 073F4C08 001D9B9A 001BB78C 306176)
E:\System Volume Information\_restore{486F90E4-9B40-413E-BFEE-B04596A58D08}\RP6\A0014347.DLL >>> подозрение на Backdoor.Win32.Grisch.00 ( 0801C861 073F4C08 001D9B9A 001BB78C 306176)
Логи прикрепил.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**ARMA9000** · 11.05.2010, 20:40

Выполните скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложение 3.

**кубик рубис** · 11.05.2010, 21:50

запрошенный карантин отправил.Получили???

Добавлено через 53 минуты

Пожалуйста ответьте!!!Карантин получили???Что там??

**ARMA9000** · 11.05.2010, 21:56

Получили. Ждем результата анализа. Не беспокойтесь.

**кубик рубис** · 12.05.2010, 14:10

Хорошо.Не беспокоюсь

.Тоже жду результатов ваших анализов.

Добавлено через 11 часов 21 минуту

Пока ждал результатов анализа,заглянул ради интереса в логи что отправил вам,файл-avz_sysinfo.htm (сколько отправлял,а заглянул первый раз

,лучше б не заглядывал

).И вот что нашел еще не понятное:
в службах есть: fwservice
Служба: AGAVA Firewall Не запущен C:\Program Files\AGAVA Firewall\fwservice.exe

но программа такоя удалена давно,и папки AGAVA Firewall в Program Files не существует.Как такое понять?

**ARMA9000** · 12.05.2010, 20:46

Файлы чистые.

Сообщение от кубик рубис

в службах есть: fwservice
Служба: AGAVA Firewall Не запущен C:\Program Files\AGAVA Firewall\fwservice.exe
но программа такоя удалена давно,и папки AGAVA Firewall в Program Files не существует.Как такое понять?

Значит криво удалился.

Код:

Версия Windows: 5.1.2600, Service Pack 2

Надо обновить до SP3(может потребоваться активация)+ все обновления.
Жалобы имеются?

**кубик рубис** · 13.05.2010, 05:07

Ясно.Не хочу показаться настойчивым,но все таки просто обьясните:
Что означает в результатах проверки в пункте(пожалуйста обьясните чтоб понятно было):
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 873371F8 -> перехватчик не определен-(там таких много).
А в остальном все в порядке.
Огромное СПАСИБО за вашу работу.