Printable View
Здравствуйте,
После проверки системы антируткит AVZ рапортует о 7 перехваченных процессах. Блокирует их, но при последующей проверке опять находит. Проверял и в обычном и в безопасном режиме с последующим выключением питания через Power, чтобы разные "звери" не успели самовосстановиться. Правда, недавно прочитал, что надо восстановление системы еще отключать. Источник этого находится по адресу /Driver/spdt.sys. Что это за "зверь"?
Заранее спасибо за ответ.
spdt.sys от алкоголь или даемон тулс (эмуляторы дисков)
выполните правила: [url]http://virusinfo.info/showthread.php?t=1235[/url]
Вот. Надеюсь все правильно сделал.
Ничего подозрительного в логах нет.
Можете пофиксить эту строчку (просто для порядка, ничего не значит):
[code]
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
[/code]
выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться
[code]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('c:\windows\system32\winlogon.exe','');
RebootWindows(true);
end.[/code]
после перезагрузке файлы из папки AVZ - Quarantine - сегодняшнее число залейте по правилам приложения 2 посмотрим на него..
как я и думал..
[QUOTE]Здравствуйте,
avz00001.dta - Trojan.Win32.Patched.m
Этот файл определяется антивирусом. Обновите антивирусные базы.
Пожалуйста, при ответе включайте переписку целиком.
--
С уважением, Дмитрий Швецов
Вирусный аналитик Лаборатории Касперского.
e-mail: newvirus на kaspersky.com
[url]http://www.kaspersky.com/[/url]
[/QUOTE]
вам надо заменить этот файл из дистрибутива windows с live cd или ещё каким способом..
[QUOTE]вам надо заменить этот файл из дистрибутива windows[/QUOTE]Не надо! Это крэк.
[QUOTE]Не надо! Это крэк.[/QUOTE]
с чего вы решили? вы счиитаете это ложным срабатыванием?
Sophos Sweep Troj/WLHack-A
Trend Micro TROJ_WLHACK.TR
VBA32 Trojan.Win32.Patched.m
Fortinet WLHack.A!tr
F-Secure Anti-Virus Trojan.Win32.Patched.m
Kaspersky Anti-Virus Trojan.Win32.Patched.m
[QUOTE=MaXim;106077]Не надо! Это крэк.[/QUOTE]
Это не крек, а троян. Несложно взять дизассемблер и убедиться в этом - см. в бинарнике код по смещению 0003C7CA и 0006F66A от начала файла в нормальном файле и в этом ...
Прошу прощения. Я вспомнил как AVZ прибил такой и Windows упала. Ну там по моему был крэк...
Там тоже был троян, тот же самый IMHO.
Скажите, если я сделаю еще одну установку Винды поверх существующей троян исчезнет? Если нет, то скажите ,пожалуйста, какой файл копировать ? winlogon.exe ?
[quote=Tigra;106334]Скажите, если я сделаю еще одну установку Винды поверх существующей троян исчезнет? Если нет, то скажите ,пожалуйста, какой файл копировать ? winlogon.exe ?[/quote]
Проще всего наверно запустить консоль восстановления и распаковать winlogon.ex_ в папку c:\windows\system32 и c:\windows\system32\dllcache.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\winlogon.exe - [B]Trojan.Win32.Patched.m[/B] (DrWEB: Trojan.Starter.236)[/LIST][/LIST]