AVZ с последними базами

Printable View

23.09.2008, 12:05
Dantist

AVZ с последними базами

На AVZ с последними базами я запустил просту проверку диска С, и вот что он нашел (из протокола)

[SIZE=2][COLOR=#ff0000]C:\System Volume Information\_restore{F5E35CCF-D564-420B-8D93-873769C34A59}\RP1\A0000321.dll >>> подозрение на Trojan-Downloader.Win32.Agent.lfm ( 0B9974CD 07115878 00284B0A 001D0CB5 12288)
C:\System Volume Information\_restore{F5E35CCF-D564-420B-8D93-873769C34A59}\RP1\A0000680.dll >>> подозрение на Trojan-Downloader.Win32.Agent.lfm ( 0B9974CD 07115878 00284B0A 001D0CB5 12288)

[COLOR=black]Что с етим делать?[/COLOR]
[/COLOR][/SIZE]
23.09.2008, 12:13
Rene-gad

[url]http://virusinfo.info/showthread.php?t=1235[/url]
Там же кстати написано, что системное воостановление надо отключать.
23.09.2008, 12:25
Dantist

Так дело в том что восстановление системы давно отключено. И на момент проверке также было отключено!
Может остались какието старые точки восстановления? если да то подскажите пожалуйста как их окончательно удалить!
23.09.2008, 12:34
Rene-gad

Прочитайте тут: [url]http://support.microsoft.com/?scid=kb%3Bru%3B309531&x=19&y=16[/url]
Подозрительные файлы пришлите нам: [url]http://virusinfo.info/showthread.php?t=4567[/url]
23.09.2008, 14:10
Dantist

Результат загрузки
Файл сохранён как 080923_050923_virus_48d8c05337240.zip
Размер файла 233867
MD5 fcb985394b0f163bedbeaf3f0cef39d4

Файл закачан, спасибо!

вот прислал все подозрительные, проверте пожалуйста и скажите что к чему!
23.09.2008, 14:41
Rene-gad

[QUOTE=Dantist;287656]проверте пожалуйста и скажите что к чему![/QUOTE]
Логи по правилам давайте.
23.09.2008, 15:30
Dantist

вот сделал
23.09.2008, 15:35
Rene-gad

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\rhcvcbj0e7e9\rhcvcbj0e7e9.exe','');
QuarantineFile('C:\TEMP\DatB.tmp','');
DeleteFile('C:\TEMP\DatB.tmp');
DeleteFile('C:\Program Files\rhcvcbj0e7e9\rhcvcbj0e7e9.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
23.09.2008, 16:20
Dantist

Файл сохранён как 080923_071856_virus_48d8deb0b6a44.zip
Размер файла 1148
MD5 5be454af29bacb081ae63952a5de491a

все сделал
23.09.2008, 16:23
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\System Volume Information\_restore{F5E35CCF-D564-420B-8D93-873769C34A59}\RP1\A0000321.dll');
DeleteFile('C:\System Volume Information\_restore{F5E35CCF-D564-420B-8D93-873769C34A59}\RP1\A0000680.dll');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи по правилам.
- Прикрепите логи к новому сообщению
23.09.2008, 17:02
Dantist

после последнего скрипта и перезагрузки появилось в системе неизвестное устройство
23.09.2008, 17:16
Rene-gad

[QUOTE=Dantist;287765]после последнего скрипта и перезагрузки появилось в системе неизвестное устройство[/QUOTE]Удалите его.
Выполните скрипт:
[CODE]begin
ClearQuarantine;
QuarantineFile('c:\windows\system32\logon.scr','');
end.
[/CODE]
Карантин по правилам пришлите.
23.09.2008, 17:29
Dantist

А можно спросить что ето вобще за устройство?

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

Скрипт выполнил успешно но файл чёто в карантин не добавился ;)
23.09.2008, 17:36
Rene-gad

[QUOTE=Dantist;287780]А можно спросить что ето вобще за устройство?[/QUOTE]Спросить можно. Понятия не имею :)
[QUOTE]Скрипт выполнил успешно но файл чёто в карантин не добавился ;)[/QUOTE]
Наверно баг АВЗ.
Какие еще проблемы?
23.09.2008, 17:40
Dantist

Только что после перезагрузки нортон поймал вот что
'c:\windows\system32\drivers\vdezentm4.sys
Щас слелаю логи
23.09.2008, 18:14
Dantist

Вот логи
23.09.2008, 18:18
Rene-gad

[QUOTE=Dantist;287819]Вот логи[/QUOTE]
Хорошие логи - ничего подозрительного.
23.09.2008, 18:22
Dantist

а то устройство которое появлялось, так и должно было быть после скрипта?
23.09.2008, 18:25
Rene-gad

[QUOTE=Dantist;287824]а то устройство которое появлялось, так и должно было быть после скрипта?[/QUOTE]Не должно, но бывает.
22.02.2009, 08:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]