firewall засек вирусную активность на компе, комп был пролечен встроенным ESET NOD 32, свежими AVZ, CureIt, AVPTool. Был выявлен и удален ряд вирусов. Но после этого все равно остаются вирусные следы.
Printable View
firewall засек вирусную активность на компе, комп был пролечен встроенным ESET NOD 32, свежими AVZ, CureIt, AVPTool. Был выявлен и удален ряд вирусов. Но после этого все равно остаются вирусные следы.
Пожелание: Обновите оффлайн-версию правил rules.zip "Правила! Читать перед запросом о помощи!", а то там старый вариант.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\glbuh\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\glbuh\LOCALS~1\Temp\winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
После выполнения скрипта карантин пуст. Потом я попытался вручную поместить файл C:\DOCUME~1\glbuh\LOCALS~1\Temp\winlogon.exe в карантин. Ответ:
Ошибка карантина файла, попытка прямого чтения (C:\DOCUME~1\glbuh\LOCALS~1\Temp\winlogon.exe)
Карантин с использованием прямого чтения - ошибка
Затем я проверил и в папке C:\DOCUME~1\glbuh\LOCALS~1\Temp\ нет файла winlogon.exe :(
Логи повторите...
Логи заново
В логах чисто...
Ну а как же
"1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод APICodeHijack.JmpTo[600D1EFF]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:SystemFunction035 (619) перехвачена, метод APICodeHijack.JmpTo[600D1541]
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[67001634]
Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[670017CF]
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text"
Фразы: "Функция *** перехвачена, метод APICodeHijack.JmpTo" очень подозрительные! Не припоминаю, чтобы это было раньше...
Это нормально, перехваты функций вызывает защитный софт...