Доброго времени суток.
Я подключался к машине по удаленному рабочему столу.
недавно решил проверить машину avz и программа выдала:
c:\documents and..\администратор\windows\system32\smss.exe подозрение на rootkit.
Подскажите пожалуйста как лечить?
Printable View
Доброго времени суток.
Я подключался к машине по удаленному рабочему столу.
недавно решил проверить машину avz и программа выдала:
c:\documents and..\администратор\windows\system32\smss.exe подозрение на rootkit.
Подскажите пожалуйста как лечить?
Выполните [URL="http://virusinfo.info/showthread.php?t=1235"][B]правила[/B][/URL]
простите
На серверах это в порядке вещей
[QUOTE]C:\32788R22FWJFW\n.pif
C:\32788R22FWJFW\pv.com[/QUOTE]Это знакомо?
Почему старый AVZ использовали, если есть версия 4.32?
[QUOTE=thyrex;531561]На серверах это в порядке вещей
Это знакомо?
Почему старый AVZ использовали, если есть версия 4.32?[/QUOTE]
Не знакомо.
Вот проверил 4.32
Вот лог
Логи старые опять прикрепили.
я проверил новой версией программы с новыми базами.
ничего не нашел кроме
c:\documents and..\администратор\windows\system32\smss.exe
что за файлы
C:\32788R22FWJFW\n.pif
C:\32788R22FWJFW\pv.com
я не знаю.
подскажите, какие действия мне нужно выполнить.
Спасибо.
Вы свежие логи прикрепите, тогда скажем.
самый свежий
Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\CRHRC.exe','');
QuarantineFile('C:\32788R22FWJFW\n.pif','');
QuarantineFile('C:\32788R22FWJFW\pv.com','');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Карантин пустой, т.к. файлы удалил еще вчера до прочтения сообщения
вот новый лог
На терминальных серверах строка
[QUOTE]c:\documents and..\администратор\windows\system32\smss.exe[/QUOTE]в порядке вещей
Плохого в логах не обнаружил
тогда почему подозрение на руткит?
[QUOTE='miha2004;533441']тогда почему подозрение на руткит?[/QUOTE]Особенность работы AVZ на серверных системах
после перезагрузки папка WINDOWS в учетке всеравно появляется
[url]http://virusinfo.info/showpost.php?p=533164&postcount=12[/url]