AVZ говорит:
C:\WINDOWS\system32\drivers\secdrv.sys >>>>> Rootkit.Win32.Agent.dp [B][COLOR=red]удаление запрещено настройкой[/COLOR][/B]
Гляжу, не у меня одного такая беда... :'-(
Printable View
AVZ говорит:
C:\WINDOWS\system32\drivers\secdrv.sys >>>>> Rootkit.Win32.Agent.dp [B][COLOR=red]удаление запрещено настройкой[/COLOR][/B]
Гляжу, не у меня одного такая беда... :'-(
пофиксите ...
[code]
O4 - HKLM\..\Run: [appdiag] C:\WINDOWS\System32\appconf.exe
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O20 - AppInit_DLLs: kеrnеl32.dll dsqudisp.dll confapp.dll appstat.dll
020 - Winlogon Notify: appmgr - appmgr32.dll (file missing)
O20 - Winlogon Notify: atietaxx - atietaxx.dll (file missing)
O20 - Winlogon Notify: clicsaml - C:\WINDOWS\System32\clicsaml.dll (file missing)
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
O20 - Winlogon Notify: wmadmsst - C:\WINDOWS\System32\wmadmsst.dll (file missing)
O21 - SSODL: Shell - {DD711F3F-19E5-42C1-BBCE-1693D90FF288} - mswshell.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll (file missing)
[/code]
выполните скрипт...
[code]
begin
QuarantineFile('C:\WINDOWS\System32\svshost.dll','');
QuarantineFile('C:\WINDOWS\System32\appconf.exe','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\ovrscn.dll','');
DeleteFile('C:\WINDOWS\System32\svshost.dll');
BC_DeleteFile('C:\WINDOWS\System32\svshost.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\ovrscn.dll');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\ovrscn.dll');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\System32\appconf.exe');
BC_DeleteFile('C:\WINDOWS\System32\appconf.exe');
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_DeleteSvc('ICF');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи...
О, сколько раз твердили миру: "Ставь СП2 и антивирус нормальный"
Чутка перефразировал классика.
[quote=PavelA;134423]О, сколько раз твердили миру: "Ставь СП2 и антивирус нормальный"[/quote]
А повторите для слабослыщащих pls - как зовут "нормальный антивирус"?
Про SP2 уже понял.
читать здесь: [url]http://virusinfo.info/forumdisplay.php?f=39[/url]
Рекламой ничего не занимаюсь.
[quote=PavelA;134446]Рекламой ничего не занимаюсь.[/quote]
Тем не менее SP2 прорекламировали ;)
[QUOTE]Тем не менее SP2 прорекламировали [/QUOTE]
Реклама - когда хвалят один из конкурирующих продуктов.
А SP2 - без вариантов.
Похоже, что-то не срослось :'-(
Загадочные и оттого ещё более страшные слова:
[B]модификация машинного кода. Метод не определен., внедрение с байта 6[/B]
1.пофиксите ...
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe[/code]
2.
[code]begin
BC_DeleteFile('C:\WINDOWS\system32\drivers\secdrv.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
P.s.Лечение не на долго с такими дырками ;)
Лучше если уж занялись надо SP2 ставить и вагон заплаток после.В любом случае на предприятии за нелегальную винду большие убытки понесёт ;)
Сделать новые логи, как в первом вашем сообщении.
Выполните скрипт:
[code]
begin
DeleteFile('C:\WINDOWS\system32\drivers\secdrv.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
[I]"А беда, хоть тяжела, [/I]
[I]Но за острые края задержалася"[/I]
SDT найдена (RVA=076EC0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
SDT = 8054AEC0
KiST = 80502588 (284)
Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15
>>> Функция воcстановлена успешно !
Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5
>>> Функция воcстановлена успешно !
Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6
>>> Функция воcстановлена успешно !
Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5
>>> Функция воcстановлена успешно !
Функция MmQuerySystemSize (804D4B2E) - модификация машинного кода. Метод не определен., внедрение с байта 2
>>> Функция воcстановлена успешно !
[B]!!! Внимание !!! Восстановлено 5 функций KiST в ходе работы антируткита[/B]
похоже, что все стерильно ....
на счет перехватов ... можете скачать [URL="http://rku.nm.ru/rkunhooker_v3/RkU3.7.300.506.zip"]RKU[/URL] ... закладка Report, нажать Scan ... очет выложить тут ...
[QUOTE=V_Bond;134742]похоже, что все стерильно ....
на счет перехватов ... можете скачать [URL="http://rku.nm.ru/rkunhooker_v3/RkU3.7.300.506.zip"]RKU[/URL] ... закладка Report, нажать Scan ... очет выложить тут ...[/QUOTE]
Очень сомневаюсь насчет стерильности. Антивируса, фаера в логах не замечено. Неопределенные перехваты часто бывают от Симантека, но и бывают от гадости.
2[B]PavelA[/B], вот увидим лог RKU будем знать точнее ... пока я считаю это особенностями работы AVZ .... :)
RKU: Nothing detected :(
на отчет хочется посмотреть ...