Ощущаю заразу в системе, а где и что не пойму (да и не умею). Поможите люди добри - хлебушком:>
Printable View
Ощущаю заразу в системе, а где и что не пойму (да и не умею). Поможите люди добри - хлебушком:>
выполните скрипт ...
[code]
begin
QuarantineFile('WudfSvc.sys','');
QuarantineFile('WMPNetworkSvc.sys','');
QuarantineFile('D:\WINDOWS\system32\mnmsrvc.exe','');
QuarantineFile('e:\julia\1000\1000.exe','');
ClearHostsFile;
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Извините, карантин выслал дважды.
Я не дебил - я просто стараюсь! им не быть.
Извините и что мне делать дальше.
D:\WINDOWS\system32\mnmsrvc.exe , e:\julia\1000\1000.exe - чистые ....
WudfSvc.sys , WMPNetworkSvc.sys - поищите через авз - сервис - поиск файлов на диске и пришлите по правилам ....
WudfSvc.sys , WMPNetworkSvc.sys - на диске не нашёл. Да ну и чёрт с ними. Главное пака заразы нет и это главное.
Спасибо за помощь.
Всё таки как здорово осознавать что ты не один и тебе может кто то помочь. Спасибо Вам ребята что Вы есть.
Извините ребята, но всё таки что это (если
можно в двух словах)
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции WSAConnect нейтрализован
Функция ws2_32.dll:WSAStartup (115) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции WSAStartup нейтрализован
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции connect нейтрализован
Функция ws2_32.dll:getpeername (5) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции getpeername нейтрализован
Функция ws2_32.dll:getsockname (6) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции getsockname нейтрализован
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86F651F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86F651F8 -> перехватчик не определен
Новые логи на всякий случай прикладываю
в двух словах - перехваты от эмулятора дисков ...
Спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]