завелось нечто
переназначает пути к файлам
Printable View
завелось нечто
переназначает пути к файлам
[url=http://virusinfo.info/showthread.php?t=7239]AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[/url]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ntmarta.dll','');
QuarantineFile('smss.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\WINDOWS\system32\ntmarta.dll','');
QuarantineFile('c:\windows\System32\Drivers\Cdrom.SYS','');
QuarantineFile('c:\windows\rk\srvany.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\WINDOWS\system32\smss.exe','');
RebootWindows(true);
end.
[/code]
Компьютер перегрузиться .
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
*.bat, *.cmd - свои скрипты для экспорта, и архивации
пути C:\Documents and Settings\Администратор\WINDOWS\system32\
- НЕТ
Всё-таки выполните скрип, файлы которые не попадут нужно пытаться искать другими путями:
[url]http://virusinfo.info/showthread.php?t=4567[/url]
P.S. скрипт поправил
cdrom.sys, smss.exe - средствами AVZ нашлись но в карантин не скопировались
скопировал обычным файловым манагером
прошу прощения
по моей проблеме чтото решилось ?
до утра еще есть время
То, что прислано в карантине - чистые файлы.
Я предпологаю, что нужно все-таки поискать через AVZ:
C:\Documents and Settings\Администратор\WINDOWS\system32\
и те файлы, что просил прислать [B]Drongo[/B]
Надо это попробовать сделать в безопасном режиме.
[QUOTE=pvb;99738]переназначает пути к файлам[/QUOTE]
Поясните, что сие значит.
Запустите окно командной строки и введите [I][B]set sessionname [/B]<Enter>[/I]. Сообщите ответ системы.
>set sessionname
SESSIONNAME=RDP-Tcp#1
Это терминальный сервер - зашел в терминальной сессии
файл smss.exe (кроме c:\windows\system32\ - вышепослан)
больше нигде ненайден
>>>переназначает пути к файлам
захожу в систему под Администратор - AVZ показывает путь
C:\Documents and Settings\Администратор\WINDOWS\system32\smss.exe
захожу под другим именем например pvb - AVZ показывает путь
C:\Documents and Settings\pvb\WINDOWS\system32\smss.exe
помоему гдето както переназначено %SYSTEMROOT% на %USERPROFILE%
хотя команда SET выводит SYSTEMROOT=C:\WINDOWS
изначально были обнаружены подозрительные файлы в %USERPROFILE$\Application Data и %USERPROFILE$\WINDOWS\system32\
удалил
сейчас хотелось бы определить [B]что[/B] переназначает пути
[quote=pvb;99976]>set sessionname
SESSIONNAME=RDP-Tcp#1
Это терминальный сервер - зашел в терминальной сессии
...
сейчас хотелось бы определить [B]что[/B] переназначает пути[/quote]
RTFM ... а если в кратце, то это стандартное поведение системы. Когда с подключаюсь к системе в терминальной сессии, система в случае запроса путей к системным папкам выдает вместо них пути, указывающие в профиль. Т.е. например вместо "c:\window\system32\" она вернет "C:\Documents and Settings\Oleg\window\system32\". Это переназначение в частности действует на уровне API функций GetSystemDirectory и GetWindowsDirectory.
всеже есть у меня чтото ?
сейчас avz обнаружил перехват в advapi32
Похоже, вы опять запускали AVZ в терминальной сессии? Этого делать не следует, путаница с путями именно из-за этого.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]