Printable View
Добрый день!
У меня возникла проблема, сегодня приехал и запустил компьютер, но при входе на аккаунт меня либо вообще выбрвсывает, либо происходит ситуация, как если убрать из запущенных процессов explorer.exe
При проверке системы Drwebом ничего не обнаружилось, а вот при проверки системы с помощью AVZ бфли обнаружены неприятные вещи...
логи как написано в правилах прилогаются! зарание спасибо!
Нужно сделать логи как указано в правилах, а пока пришли
C:\WINDOWS\system32\pptp64.sys
C:\WINDOWS\system32\pptp32.dll
как указано в правилах.
перечитал правила счас переделаю логи... к сожалению я не могу прислать вами запрашиваемые файлы, их просто нет, или они скрыты :-(
[QUOTE=acid]перечитал правила счас переделаю логи... к сожалению я не могу прислать вами запрашиваемые файлы, их просто нет, или они скрыты :-([/QUOTE]
Искал при помощи АВЗ?
нет AVZ их видит, а проходя по адресу такого файла не обнаруживается
[QUOTE=acid]нет AVZ их видит, а проходя по адресу такого файла не обнаруживается[/QUOTE]
Читайте в Правилах Приложение 2.
-----
И новую версию AVZ 4.15 скачайте.
правельные отчеты, и один из фалов, несколько раз проделывал операции указанные в правилах по поиску фалов, файла pptp32.dll не обнаружилось в архиве файл pptp64.sys правдо какой-то странный
C:\WINDOWS\system32\pptp64.sys BackDoor.Haxdoor.233
AVZ у вас старая - 4.12, а сейчас уже есть 4.15.
Найденные файлы к сообщениям не прикрепляйте, а загружайте через форму (см. Правила).
Отключитесь от Интернет.
В AVZ в «Параметрах поиска» включите Блокировать работу RootKit User-Mode и Kernel-Mode.
Запустите сканирование.
После окончания сканирования найдите и отправьте в карантин, следующий файл:
C:\WINDOWS\system32\pptp32.dll
В AVZ меню Файл - "Отложенное удаление файла" удалите файлы:
C:\WINDOWS\system32\pptp32.dll
C:\WINDOWS\system32\pptp64.sys
Перезагрузите компьютер и сделайте логи, начиная с 11 пункта правил.
Пришлите файлы из карантина как описано в Приложении 2 Правил.
спасибо, логи счас переделаю... меня пугают вот эти записи
>>>> Обнаружена маскировка процесса 644 \??\c:\windows\system32\winlogon.exe
>>>> Обнаружена маскировка процесса 1904 c:\windows\explorer.exe
а pptp32.dll не сохраняется, там пустой файл получается
AVZ переставил...
Значит так. Запустить АВЗ. Пойти в "Параметры поиска" и поставить обе птички "Блокировать работу руткит" после чего вернуться на вкладку "Область поиска" и ничего не выбирая нажать на "Пуск". Когда закончится сканирование попробовать при помощи АВЗ еще раз скопировать C:\WINDOWS\system32\pptp32.dll в карантин. Если не скопируется, то включить АВЗГуард, и через Сервис->Поиск данных в реестре удалить все ссылки на C:\WINDOWS\system32\pptp32.dll, C:\WINDOWS\system32\pptp64.sys, после чего сразу перегрузиться не выключая АВЗГуард. После перегрузки файл должен скопироваться без проблем.