-
Junior Member
- Вес репутации
- 50
Всё ли в порядке?
Здравствуйте, уважаемые хелперы!)
Собственно у меня не было подозрения на вирусы, но всё же я решил сделать проверку.
Я выполнил все инструкции указанные в правилах.
Вот что я сделал:
Сделал глубокое сканирование всего компьютера антивирусом (ESET Smart Security), перезагрузил в безопасный режим и запустил Dr. Web CureIt который произвел проверку, загрузил винду в обычный режим предварительно отключив сетевой кабель, отключил все службы антивируса (защита от вирусов, фаервол и антиспам) и выполнил указанный скрипт "Скрипт лечения/карантина" с запущенным Internet Explorer, перезагрузил комп в обычный режим с интернетом выполнил скрипт "Скрипт сбора информации" и провёл "Do a system scan and save a logfile" утилитой HijackThis.
Возникли вопросы, которые я задам по порядку ниже:
1. (?) Вот это только у меня или у всех есть:
Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8236F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8236F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8236F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8236F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8236F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8236F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8236F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8236F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8236F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8236F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8236F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8236F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8236F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8236F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8236F1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8236F1F8 -> перехватчик не определен
2. (?) Вот что это означает:
Сканирование дисков
C:\WINDOWS\Installer\c2001.msi >>> подозрение на Backdoor.Win32.Agent.bg ( 05D67624 0A08EC30 001CB8D3 001D5B68 151552)
Файл успешно помещен в карантин (C:\WINDOWS\Installer\c2001.msi)
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
Прямое чтение C:\WINDOWS\Temp\~DF1746.tmp
Прямое чтение C:\WINDOWS\Temp\~DF28A8.tmp
3. Какие будут рекомендации? (Например, профиксить и т.п., или возможно вам нужен будет virusinfo_cure.zip)
4. Нужно ли что-то делать с системой, для корректной работы?
5. Возможно ли что вирус закрепился в оперативной памяти или биосе?
Спасибо за внимание, жду ответа.
З.Ы. Вы действительно помогаете людям, за что вам от всех респект и уважуха +1.
=)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 50
Пока вы мне помогаете, я почитаю раздел "Рекомендации после лечения или 10 заповедей для здоровья компьютера" =))) но ничего предпринимать без вашего ведома не буду.
-
Здравствуйте, в Ваших логах ничего плохого замечено не было.
Сообщение от
tensegrity
C:\WINDOWS\Installer\c2001.msi >>> подозрение на Backdoor.Win32.Agent.bg ( 05D67624 0A08EC30 001CB8D3 001D5B68 151552)
Это скорее всего просто паранойя, можете проверить файл на Virustotal
-
-
Junior Member
- Вес репутации
- 50
ахахах )))) да, я - параноик ))) есть такое хДД олололо
спасибо, за ответ )))
но всё равно, я теперь спокойнее себя чувствую =)
а рекомендации будут какие-то?
например, службы какие можно отключить?
-
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 50
polword, спасибо за скрипт - выполнил, кое что исправил.
но только вот avz_log.txt не был создан.
я даже несколько раз исполнял скрипт и искал поиском.
что делать?
-
раз нету avz_log.txt- уязвимостей не обнаружено
-
-
Junior Member
- Вес репутации
- 50
огромное СПАСИБО !!