Printable View
Удалил svchost.exe:ext.exe, deflib.sys и еще много чего. Локальная сеть нормально не работает, но в интернет хожу без проблем. В браузере редиректится homepage. Третий лог делать нет времени, но и этого должно быть достаточно, т.к. все перехваты сняты.
CureIt'ом сканил.
+ не ставятся апдэйты.
Посмотрите, пожалуйста.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Gny42.sys','');
QuarantineFile('C:\WINDOWS\TEMP\KWBE66.EXE','');
QuarantineFile('C:\WINDOWS\bginfo.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\Gny42.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
bginfo.exe закарантинился.
kwbe66.exe - видимо от какой-то программы. имя этого файла генерится при каждом входе в систему. вроде чистый. в карантине есть, насколько я понимаю, этот же файл, но с другим именем.
по поводу gny42.sys в логах пишет следующее:
avz_log:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\Gny42.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\Gny42.sys)
Карантин с использованием прямого чтения - ошибка
bc_clr log:
QuarantineFile \??\C:\WINDOWS\System32\Drivers\Gny42.sys - failed (0xC0000034)
QuarantineFile \??\C:\WINDOWS\System32\Drivers\Gny42.sys - failed (0xC0000034)
я так понимаю, его нет.
C:\WINDOWS\bginfo.exe и C:\windows\temp\YW4E54.EXE - похоже чистые ...
сделайте новые логи ...
Сейчас, к сожалению, физического доступа к машине уже нет.
Локалка появилась после переустановки драйверов сетевухи.
Таким образом осталась проблема с WindowsUpdate и этот экзешник в темпе несколько смущает.
Теперь все будет происходить после нового года.
Спасибо за помощь.
Gny42.sys - штука явно не хорошая ...
На машине стоит OfficeScan. Этот файл с переменным названием от него. Если посмотреть в проводнике, то иконка у него собачка, это Guard от TrendMicro.
P.S. пора уже эти данные в "Чаво" заносить. Часто про это спрашивают и за этим файликом гоняются.
не силен в тренд микро ... но у него кажется ... экзешник с переменным именем ...(но не драйвер)
Я про вот этого писал:
>kwbe66.exe - видимо от какой-то программы. имя этого файла генерится при >каждом входе в систему. вроде чистый. в карантине есть, насколько я понимаю, >этот же файл, но с другим именем.
Драйвер, да, подозрительный.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]