Стоит Антивирь TrendMicro Officescan с последними обновами.
Че делать с этими привидениями - ума не приложу. Подскажите. :?
ЗЫ: W2K3 SP2
Printable View
Стоит Антивирь TrendMicro Officescan с последними обновами.
Че делать с этими привидениями - ума не приложу. Подскажите. :?
ЗЫ: W2K3 SP2
Нужно еще 2 лога, посмотрите правила
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
На основе имеющихся данных:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\DRIVERS\lirsgt.sys','');
QuarantineFile('c:\windows\System32\Drivers\aog6lo80.SYS','');
QuarantineFile('c:\windows\system32\DRIVERS\atksgt.sys','');
QuarantineFile('c:\windows\temp\ec5ea9.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
Пришлите карантин согласно приложению 3 Правил.
Затем выполните скрипт:
[code]
var
i : integer;
begin
RefreshProcessList;
AddToLog('Количество процессов = '+IntToStr(GetProcessCount));
for i := 0 to GetProcessCount - 1 do begin
AddToLog(IntToStr(GetProcessPID(i)) + ' '+ GetProcessName(i));
end;
end.
[/code]
Скажите то, что получите.
Но 2 основных лога [b]надо обязательно[/b] сделать
LIRSGT.SYS is related to Tages copy protection system.
ATKSGT.SYS is related to protection of game CDs.
С сайта [url]http://www.greatis.com[/url]
c:\windows\temp\ec5ea9.exe - это компонент антивиря.
скоро пришлю логи
Пришлите карантин, как Вас просили...
Вот все что ты просил и результат последнего скрипта.
В связи с тем, что Тренд создает каждый раз новое имя процесса - ec5ea9.exe в карантин поместить не удалось, помещен его аналог.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\temp\rsb816.exe','');
QuarantineFile('c:\windows\system32\vmnetdhcp.exe','');
BC_ImportQuarantineList;
BC_QrFile('c:\windows\temp\rsb816.exe');
BC_QrFile('c:\windows\system32\vmnetdhcp.exe');
BC_Activate;
RebootWindows(true);
end.
[/code]
Посмотрим закарантиниться ли...
[size="1"][color="#666686"][B][I]Добавлено через 43 секунды[/I][/B][/color][/size]
Потом пришлите карантин по ссылке вверху
Выслал, но добавлю:
c:\windows\temp\rsb816.exe - карнтинить бесполезно, т.к. этот компонент антивиря после перезагрузки меняет имя.
c:\windows\system32\vmnetdhcp.exe - а это DHCP-сервер виртуального хаба VMWare Server, который у меня установлен.
GTJafar у вас работает некая программа thinclientserver. Судя по названию, это сервис терминальных клиентов. Может, все эти безымянные процессы ее рук дело?
Удалил thinclientserver, перегрузился - процессы остались. Заглянул на еще один сервак, где он тоже установлен - пустые процессы тоже есть. Как их удалить???
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]