Здраствуйте!
Несколько раз проверял систему AVZ. Нейтрализованный rootkit каждый раз восстанавливается в user32.dll, а также какие-то перехватчики в KernelMode.
Нет желания сносить систему.
Пожалуйста, помогите!
Здраствуйте!
Несколько раз проверял систему AVZ. Нейтрализованный rootkit каждый раз восстанавливается в user32.dll, а также какие-то перехватчики в KernelMode.
Нет желания сносить систему.
Пожалуйста, помогите!
[QUOTE='07sanches07;471570']Нейтрализованный rootkit каждый раз восстанавливается в user32.dll, а также какие-то перехватчики в KernelMode.[/QUOTE]Это проделки Outpost-а и NOD32.
Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe','');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.
[/code]
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
В карантине AVZ пусто.
Протокол после использования скрипта:
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe)
Карантин с использованием прямого чтения - ошибка
[микропрограмма лечения]> изменен параметр NoDriveTypeAutoRun ключа HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
Странно, в логах он виден. А в меню Пуск - Все Программы - Автозагрузка он есть?
Извиняюсь, я не в той последовательности выполнил диагностику системы.
Dr.Web CureIt улалил этот файл и еще 3 трояна.
Но AVZ всё-равно нейтрализовывает код руткита в user32.dll.
Что это, Outpost и NOD32?
Outpost и NOD делают перехваты.
Спасибо!