Доброго всем дня!
Помогите пожалуйста разобраться с проблемой описанной уже сдесь
[url]http://virusinfo.info/showthread.php?t=21518[/url]
+ куча перехватчиков
логи прилагаю
Доброго всем дня!
Помогите пожалуйста разобраться с проблемой описанной уже сдесь
[url]http://virusinfo.info/showthread.php?t=21518[/url]
+ куча перехватчиков
логи прилагаю
virusinfo_cure.zip нельзя прикреплять к теме,где virusinfo_syscure.zip ? прочитайте правила ещё раз.
Пофиксить
[QUOTE]O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 - HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe[/QUOTE]
Выплонить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\kavo.exe','');
QuarantineFile('C:\WINDOWS\system32\tavo.exe','');
QuarantineFile('K:\30ed3.exe','');
QuarantineFile('K:\autorun.inf','');
QuarantineFile('C:\30ed3.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\tavo0.dll','');
QuarantineFile('C:\WINDOWS\system32\kavo1.dll','');
DeleteFile('C:\WINDOWS\system32\kavo1.dll');
DeleteFile('C:\WINDOWS\system32\tavo0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\30ed3.exe');
DeleteFile('K:\autorun.inf');
DeleteFile('K:\30ed3.exe');
DeleteFile('C:\WINDOWS\system32\tavo.exe');
DeleteFile('C:\WINDOWS\system32\kavo.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
[/CODE]
После перезагрузки закачать по правилам карантин и повторить логи.
что такое диск К ? Если это какой-то съёмный диск ( флешка и тд) то подключить его к компьютеру перед исполнением скрипта.
уважаемый drongo, извините пожалуйста, сильно торопился и перепутал архивы.
впредь этого не повторится
Rene-gad спасибо
Ловлю на слове :)
Так что там с К- это кто?
[quote=drongo;215897]Ловлю на слове :)
Так что там с К- это кто?[/quote]
К- это физический локальный диск с установленной ОС
[QUOTE=shuttle;215894] Rene-gad спасибо[/QUOTE]Пожалуйста :) Скрипт прогнали? Где карантин? Где новые логи?
скрипт прогнал, скрытые файлы появились, перехватчики остались пока.
логи позже, еще сканю
тут такая трабла, я сдури удалил карантин перед вторым сканированием (после отработки скрипта):(
логи есть
Пришлите по правилам C:\WINDOWS\system32\winlogon.exe
[quote=Bratez;215956]Пришлите по правилам C:\WINDOWS\system32\winlogon.exe[/quote]
Объясните ламеру, как это осуществить по правилам:(
извините если я делаю что-то не так, я первый день на этом форуме
[QUOTE=shuttle;215962]Объясните ламеру, как это осуществить по правилам:([/QUOTE]
для начала правила [url]http://virusinfo.info/showthread.php?t=1235[/url] - там все написано , как , что и куда ... но нужно сделать усилие и дочитать ... ( файлик из сообщения нужно убрать ) ...
@shuttle
Два нарушения уже есть :)
За третье будем выгонять с поля.
к стати приатаченный файл чистый ....
V_Bond
PavelA
будьте снисходительны к новичку, как известно: первый блин всегда (дальше думаю знаете)
Господа хелперы, что по моему вопросу?
неверный пост удалил уже.
C:\TORRENT.KG\Eset Nod32 3.0.566\ESET_NOD32_Antivirus_v3[1].0.566_RUS.rar - просто удалите - злодей в архиве ..
больше зловредного ничего нет ...
у вас криптопро был установлен ?
[quote=V_Bond;215980]C:\TORRENT.KG\Eset Nod32 3.0.566\ESET_NOD32_Antivirus_v3[1].0.566_RUS.rar - просто удалите - злодей в архиве ..
больше зловредного ничего нет ...
у вас криптопро был установлен ?[/quote]
"криптопро" не знаком с таким термином:(
если не трудно объясните.
злодея удавил уже ручками:>
а вот десяток перехватчиков остались:(
как быть?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 867661F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 85D541F8 -> перехватчик не определен
вот такие моменты к примеру
перехваты у вас не вредные ... от Daemon tools удалите и они исчезнут ...
если криптопро вам ни о чем не говорит .... странно [URL="http://www.cryptopro.ru/cryptopro/products/winlogon/default.htm"]это [/URL] кто -то видимо устанавливал ...