Printable View
Доброй ночи господа!
Помогите пожалуйста!
Если можно сразу лекарством в виде нужного мне скрипта или оных практических манипуляций!
Вот логи:
virusinfo_syscure.zip
[url]http://virusinfo.info/attachment.php?attachmentid=97187&d=1229202087[/url]
virusinfo_syscheck.zip (
[url]http://virusinfo.info/attachment.php?attachmentid=97188&d=1229202087[/url]
hijackthis.log
[url]http://virusinfo.info/attachment.php?attachmentid=97189&d=1229202087[/url]
Заранее благодарен!
Ничего зловредного в логах нет. А что есть какие-то проблемы?
Давайте попробуем так:
1. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
SetAVZPMStatus(true);
RebootWindows(true);
end.[/code]2. Повторите логи AVZ.
Доброго времени суток уважаемые!
Пжалста!
[COLOR=Red][COLOR=Black]Такая краснота меня одолела:
[/COLOR]Функция NtCreateKey (29) перехвачена (8056E9A9->F750BB3A), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateKey (47) перехвачена (8056F0B0->F750BC7E), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (8057EBEF->F750BFF6), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenKey (77) перехвачена (80567EFB->F750BA18), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryKey (A0) перехвачена (8056EDB9->F750C0C0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (8056B303->F750BF58), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSetValueKey (F7) перехвачена (8057516D->F750C148), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtTerminateProcess (101) перехвачена (80584781->B9FD63A0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (8057F055->B9FD6300), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS, драйвер опознан как безопасный
\FileSystem\ntfs[IRP_MJ_CREATE] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8974AEB0 -> перехватчик не определен
\driver\disk[IRP_MJ_CREATE] = 8974A0E8 -> перехватчик не определен
\driver\disk[IRP_MJ_CLOSE] = 8974A0E8 -> перехватчик не определен
\driver\disk[IRP_MJ_READ] = 8974A0E8 -> перехватчик не определен
\driver\disk[IRP_MJ_WRITE] = 8974A0E8 -> перехватчик не определен
\driver\disk[IRP_MJ_PNP] = 8974A0E8 -> перехватчик не определен
[/COLOR]
Ничего зловредного в логах нет.
Спасибо сударыня!
Система работает с тормозом =( , после того как Алкохол 120% установил.
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
Удалил, перезагрузил, тормоза остались.
[QUOTE=MyxCC;321747]
Удалил, перезагрузил, тормоза остались.[/QUOTE]
это вы так думаете , он так просто не сдается .... давайте логи посмотрим де что в действительности ...
Доброго Всем времени суток!
Разъясните мне пожалуйста как реагировать: :ohmy:,:huh:,:dry:,:mad:,:cool:
на красные строки пунктов:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082880)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559880
KiST = 804E26A8 (284)
[COLOR=Red]Функция NtCreateKey (29) перехвачена (8056E9A9->F750BB3A), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateKey (47) перехвачена (8056F0B0->F750BC7E), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (8057EBEF->F750BFF6), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenKey (77) перехвачена (80567EFB->F750BA18), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryKey (A0) перехвачена (8056EDB9->F750C0C0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (8056B303->F750BF58), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSetValueKey (F7) перехвачена (8057516D->F750C148), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtTerminateProcess (101) перехвачена (80584781->BA3B03A0), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (8057F055->BA3B0300), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS, драйвер опознан как безопасный
[/COLOR]
1.5 Проверка обработчиков IRP
[COLOR=Red]\FileSystem\ntfs[IRP_MJ_CREATE] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8974AEB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8974AEB0 -> перехватчик не определен
\driver\disk[IRP_MJ_CREATE] = 8974A0E8 -> перехватчик не определен
\driver\disk[IRP_MJ_CLOSE] = 8974A0E8 -> перехватчик не определен
\driver\disk[IRP_MJ_READ] = 8974A0E8 -> перехватчик не определен
\driver\disk[IRP_MJ_WRITE] = 8974A0E8 -> перехватчик не определен
\driver\disk[IRP_MJ_PNP] = 8974A0E8 -> перехватчик не определен[/COLOR]
Проверка завершена
2. Проверка памяти
Вот логи, успакойте плиз!!!
Не успокаивают ни сигареты, ни трамал, ни кокс :wink_3:
прибьем алкоголь ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('sptd');
DeleteFile('C:\WINDOWS\System32\Drivers\SPTD9693.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\sptd.sys');
BC_DeleteSvc('sptd');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Здрасть уважаемые хелперы, мальчики и мальчики :tongue:!
Сканер отругал программу пунто-свичет:dry:.
Троян или логер.
Вот собстнно логи:
Гляньте пожалста, черкните заветный скрипт, битте!:xmas:
З.Ы.
Нелюблю красноту:mad:.
[B]Punto Switcher[/B] - автоматический переключатель русской и английской раскладок клавиатуры. Это нормально, что AVZ его ругает.
В AVZ -> файл -> Выполнить скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Попробуйте программку [URL="http://www.ccleaner.com/download/downloading"]CCleaner[/URL]. В ней Реестр- поиск проблем. Тормоза после этого частенько пропадают :)