пожалуйста, скажите есть ли мусор в системе?
p.s.: подскажите, а где можно взять (а ещё лучше постоянно брать) новые версии полиморфного авз и avz_monk ?
пожалуйста, скажите есть ли мусор в системе?
p.s.: подскажите, а где можно взять (а ещё лучше постоянно брать) новые версии полиморфного авз и avz_monk ?
[url=http://virusinfo.info/showthread.php?t=4491]Пофиксте[/url] в HijackThis следующие строки:
[quote]
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU)
O21 - SSODL: UpdateCheck - {B58C916B-9483-4CCB-B86F-A6E02D949388} - (no file)
[/quote]
После перезагрузки сделайте новый лог HijackThis и приложите сюда.
Ссылки на полиморфный авз есть у некоторых хелперов в подписи. Новые сборки выходят не регулярно. Крайняя была 19.08.2009.
А кто собирает этот полиморфный AVZ?
И меня больше пугал отчёт AVZ (посмотрите в логе: неизвестные длл-ки), чем Hijackthis...
При повторном скане полиморфным AVZ вижу красные надписи в логе:
69 строк вида (найдено в сецкии text):
[CODE]Функция kernel32.dll:Function (123) перехвачена, метод APICodeHijack.JmpTo[10001B66][/CODE]
(вместо kernel32.dll ещё бывает ntdll.dll, user32.dll, advapi32.dll, ws2_32.dll, wininet.dll, urlmon.dll и т.п.)
а также:
[CODE]Маскировка процесса с PID=2860, имя = "7ljz6xp.exe", полное имя = "\Device\HarddiskVolume1\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX2\7ljz6xp.exe"[/CODE]
причем проверил путь - папки RarSFX2 там не существует (у меня включён показ скрытых и системных файлов)
и
[CODE]1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A5CF1F8 -> перехватчик не определен[/CODE]
Вы проводили сканирование CureIt?
[B]NickGolovko[/B], правильно мыслит. CureIt оставляет подобные следы.
[B]Drug0y[/B], если бы вы сделали в соответствии с Правилами второй лог AVZ после перезагрузки, то там было бы чище.
[B]NickGolovko[/B], делал. Он ничего подозрительного не нашёл.
[B]AndreyKa[/B], в Правилах не сказано о повторном логе, а вы мне сказали только про лог Hijackthis, который я собственно и выложил повторно.
p.s.: прошу прощения за то что дважды ошибся в том, что выкладывал не тот архив.
кто и почему пометил тему как "излечено"? :furious3: :censored: :rtfm:
при очередном быстром скане АВЗ я увидел опять много всего нехорошего (см. вложение).
Загрузите по ссылке "Прислать запрошенный карантин" файл virusinfo_cure.zip.
сделал
[QUOTE='Drug0y;466377']кто и почему пометил тему как "излечено"? [/QUOTE]
Я. Потому как то, что вы считаете нехорошим, по-моему нормально.
В добавок к просьбе [B]NickGolovko[/B] выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]
[B]AndreyKa[/B], да вы только посмотрите содержимое аттачмента! там же вирусы видны невооруженным глазом! (apq6t66d.SYS и 7ljz6xp.exe, перехватчик spcg.sys)
А процедуру - [url=http://virusinfo.info/showpost.php?p=466433&postcount=2802]выполнил[/url].
spcg.sys - это эмулятор диска. Имя меняется при каждой перезагрузке
apq6t66d.SYS - это тоже эмулятор atapi/ide. Имя меняется также
7ljz6xp.exe - CureIt был запущен при создании лога?
[QUOTE='Drug0y;466434']А процедуру - выполнил. [/QUOTE]
Спасибо!
[quote=CyberHelper]
Архив 090911_204254_virusinfo_files_PAVEL_4aaa7e0edf2e5. zip, загружен 11.09.2009 21:00:20, размер 33285679 байт
Всего файлов: 26 (исполняемых 25), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 1
В очереди на добавление в базу безопасных:
высокий приоритет: 19
обычный приоритет: 6[/quote]
[B]thyrex[/B], CureIt запущен не был, но вообще в том сеансе я его до этого запускал. С выключенным CureIt-ом только что сделал проверку - снова оно же.
а можно поподробнее про эмуляцию? какая программа и зачем это творит? у меня только DaemonTools стоит из того что могло бы это сделать.
[B]AndreyKa[/B], это вам спасибо за помощь.
[QUOTE='AndreyKa;466443']Всего файлов: 26 (исполняемых 25), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 1[/QUOTE]
А почему только 1 и какой 1?
[QUOTE='Drug0y;466446']А почему только 1 и какой 1? [/QUOTE]
В автокарантин файлы опознанные как безопасные попадать не должны.
Но всё-таки могут попадать из-за того, что:
1. Базы AVZ не были обновлены.
2. [B]CyberHelper [/B]уже добавил какой-то файл в базу безопасных, а в обновления AVZ он еще не попал.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]