Здравствуйте, подскажите пожалуйста, что за перехватчик и чего с ним делать?
Printable View
Здравствуйте, подскажите пожалуйста, что за перехватчик и чего с ним делать?
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('explors.exe','');
DeleteFile('%WinDir%\explors.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','system value upd');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
[QUOTE='ДМА;770479']что за перехватчик[/QUOTE]
Это нормально.
Сделано.
Однако, при загрузке карантина почему то выскакивает ошибка:
Результат загрузки
Unknown error. File not uploaded
Что с проблемой?
[QUOTE=thyrex;770669]Что с проблемой?[/QUOTE]
[SIZE=2]Функция NtCreateKey (29) перехвачена (8057791D->F764F0E0), перехватчик spwi.sys
Функция NtEnumerateKey (47) перехвачена (80578E14->F766DCA2), перехватчик spwi.sys
Функция NtEnumerateValueKey (49) перехвачена (80587693->F766E030), перехватчик spwi.sys
Функция NtOpenKey (77) перехвачена (80572BF4->F764F0C0), перехватчик spwi.sys
Функция NtQueryKey (A0) перехвачена (80578A14->F766E108), перехватчик spwi.sys
Функция NtQueryValueKey (B1) перехвачена (80573037->F766DF88), перехватчик spwi.sys
Функция NtSetValueKey (F7) перехвачена (8058228C->F766E19A), перехватчик sp[/SIZE][SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]wi.sys
[/COLOR][/SIZE][/COLOR][/SIZE]
это руткит?
При выполнении стандартного скрипта AVZ "Поиск и нейтрализация RootKitMode и KernelMode" в логах пишет, что перехватчик нейтрализован. Однако после ребута все по-старому.
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
[/code]
[B]sp??.sys[/B] - это модули от эмулятора CD.
Ничего подозрительного в ваших логах нет.
[QUOTE='ДМА;770737']пишет, что перехватчик нейтрализован. Однако после ребута все по-старому.[/QUOTE]
Естественно. Это же все в оперативной памяти происходит.
Понял, спасибо большое.