Доброго времени суток.
У приятеля возникла проблемка:
Касперский определяет startdrv.exe как троян но вылечить не может и перегружает комп.
Printable View
Доброго времени суток.
У приятеля возникла проблемка:
Касперский определяет startdrv.exe как троян но вылечить не может и перегружает комп.
Вуаля:
[code]begin
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.[/code]
Потом пофиксить:
[code]O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe[/code]
Только "Восст. системы" надо отключить, иначе проблемы могут повториться.
скрипт выполнил, строку пофиксил ошибку загрузки файлов больше не показывает.
при повторном запуске AVZ написал, что найдено и заблокировано 44 процесса руткит .. и что то еще.
название файла записать не успел но название было похоже на Kits или что то похожее.
новые логи
забыл!
AVZ еще ругнулся на файл w39n51.sys
в логах чисто ...
w39n51.sys - от wi-fi
после этого- kassy.0.71.professional.full.incl.crack-rev\kassy071Pro\Kassy071.exe.bak я не удивлюсь, что каспер с чёрным ходом уже в системе ;)
что в батнике:
C:\Невмера\маркетинг\ABC-XYZ анализm\BPwin\SILENT.BAT- ?
интересно от чего это ? :
Функция IoAllocateIrp (804EAF7D) - модификация машинного кода. Метод не определен., внедрение с байта 15-
[quote=drongo;156067]
C:\Невмера\маркетинг\ABC-XYZ анализm\BPwin\SILENT.BAT- ?
интересно от чего это ? :
[/quote]
Эта папка была скопирована приятелем с чужой флешки. Теоретически
этот файл рабочий, но исключать, что он не вредоносный тоже нельзя
[size="1"][color="#666686"][B][I]Добавлено через 1 час 7 минут[/I][/B][/color][/size]
1.Найдено около 8 процессов надпись примерно следующая:
Функция kernel32.dll (408 ) перехвачена, метод ProcAdressHijack.GetProcAdress >7C80ADA0>7C883FEC>
примерно так.(цифры в скобках у всех строк разные)
и Детектирована модификация IAT:GetProcAdress-7C883FEC>7C80ADA0
2, У файла TPSBattM.exe имеет другой реальный размер.
3, Kassy в папке Невмера имеет расширение exe.bak
И когда был первый тест руткит именно в этих kassy определялся.
4, SILENT.BAT почемуто при открытии в блокноте там куча иероглифов.....
я когда батники блокнотом открываю там конкретные команды прописаны а здесь полная каша.
1 не уверен на 100 % но ... думаю после удаления алкоголя исчезнет ..
2 драйвер тошибы ..
3,4 пришлите по правилам .... на всякий случай
[quote=V_Bond;156098]1 не уверен на 100 % но ... думаю после удаления алкоголя исчезнет ..
2 драйвер тошибы ..
3,4 пришлите по правилам .... на всякий случай[/quote]
А что такое алкоголь (в данном случае)?
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
[quote=V_Bond;156098]
3,4 пришлите по правилам .... на всякий случай[/quote]
отправил
Alcohol 120% - эмулятор CD/DVD привода ...
а с карантином как?
ничего интересного кроме крека ;)
TDispVol.dll - от тошиба на него многие антивирусы кричат ....
Ну тогда наверное все....
Спасибо!.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]