-
Может этот файл..просто там несколько "подменю" и в каждом свои показания:Процессы, Автозапуск, Службы,Порты..
-
выполните скрипт...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe','');
QuarantineFile('C:\WINDOWS\system32\lsass.exe','');
QuarantineFile('C:\WINDOWS\system32\services.exe','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
-
Карантин пришел?Файл сохранён как071003_120906_virus-karantin_4703ccb21d57f.zipРазмер файла2289MD54b908f39c603846d3d79f79b36835dd4
-
карантин пустой .... попробуйте выполнить скрипт в Safe mode ...
-
выполнила скрипт в SafeMode. Высылаю карантин
Файл сохранён как 071003_124053_virus_4703d4259a975.zip
Размер файла 2286
MD5 3345e96a6a59cb38ce203fe8900a8185
-
в карантине снова пусто ... значит AVZ уверен в их безопастности ...
попробуйте на всякий случай .... сделать полную проверку Cureit ...
-
Хорошо,сейчас проверим...
-
CureIT ничего не нашел, AVZ говорит о прямом чтении некоторых файлов (приложен лог): Это нормально? Подозрительным назвал только прогу jeefogui.com (для лечения всех файлов, зараженных Win32.Jeefo.a). А прога a-squaredFree нашла 3 вредных файла - HeuristicArchivebomb и ВСЕ. Но по показаниям HiJackFree все службы svchost.exe, services.exe все равно заражены этим Джифой...
-
[QUOTE=Irena;139814] А прога a-squaredFree нашла 3 вредных файла - HeuristicArchivebomb и ВСЕ. Но по показаниям HiJackFree все службы svchost.exe, services.exe все равно заражены этим Джифой...[/QUOTE]
Очень хочется увидеть как она об этом говорит. К сожалению, это не наша утилита. Всех ее возможностей до конца не знаем.
-
Если вы про HiJackFree, то: проводится он-лайн анализ данных о системе. Формат HTML-страница, поэтому могу выслать только эти данные в Worde (заархивировано WInRAR)--если желтым обозначено,то процесс используется и вредным файлом и самим приложением/службой, если красным - то только "вирусом"--и если нажать на "View Details" - то показано какая команда в этом процессе носит вредоносный "характер". Также были зараженные процессы((когда стояли в автозапуске--->пришлось убрать из автозапуска)):
1) mdm.exe (из Program Files\Common Files\Microsoft Shared\VS7Debug) там был P2P-Worm.Win32.VB.at,
2) nerocheck.exe (С:\WINDOWS\system32\Nerocheck.exe) -там Trojan-Proxy.Win32.Small.de,и_ Tactslay Family
3) gttask.exe ( из С:\Program Files\Quick Time)- CoolWebSearch и Dialer.Trafficadvance
4) WinampAgent( C:\Program Files\Winamp\ winampa.exe)-- тут обнаружены Win32RBot, BackdoorAgobot.nc,Backdoor.Win32.Webdoz.p, Backdoor.SdBot.ld и Tactslay.B (или W32Agobot-GS)
5) CTFMON.EXE ( из system32 в процессе ctfmon.exe) - здесь CoolWebSearch Ctfmon 32, Infostealer.Raidys и Troj/ Spyhoax-A
Мне просто не верится что вся эта гадость могла попасть в систему (когда вроде бы все тщательно проверяется на наличие вирусов и тп)
P.S. последнее время замечала такое----процесс прога детектирует (напр MsAgent.exe), а потом сообщает об ошибке, т.к. такого процеса нет и быть не могло!! И в автозапуске "ругается" на WebCheck (webcheck.dll из system32) - что это [EMAIL="W32.Cone.D@mm"]W32.Cone.D@mm[/EMAIL] и [EMAIL="W32.Cone.F@mm"]W32.Cone.F@mm[/EMAIL] (ЧЕРВИ!!)___ и SysTray (stobject.dll) - заражен червями и троянами!!? (скриншот приложен)
МОЖЕТ это прога глюканутая??? Помогите,пожалуйста...
-
Вот например об этих "желтых" службах прога пишет: (скриншот 1-й)...
И про другие службы,напр. services.exe (2-й)..
И другие "желтые" svchost.exe имеют такие "комментарии"(3-й),также эти "свхосты" (4-й)(((3-й и 4-й не уместились на сервере--придется выложить после того как будут ненужны предыдущие 2 файла (1-й и 2-й).....
Посмотрите, пожалуйста, на что это похоже???:?
-
@Irena Давайте поступим так: Скачайте Cure-It на заведомо чистом РС, сбросьте его на диск.
Проверьте систему в защищенном режиме (Safe Mode), а затем в нормальном. Лучше если есть такая возможность, загрузившись с СД.
Логи приложите сюда. После этих проверок будем делать выводы.
Второй вариант, не исключающий первого:
[QUOTE]
1) mdm.exe (из Program Files\Common Files\Microsoft Shared\VS7Debug) там был P2P-Worm.Win32.VB.at,
2) nerocheck.exe (С:\WINDOWS\system32\Nerocheck.exe) -там Trojan-Proxy.Win32.Small.de,и_ Tactslay Family
3) gttask.exe ( из С:\Program Files\Quick Time)- CoolWebSearch и Dialer.Trafficadvance
4) WinampAgent( C:\Program Files\Winamp\ winampa.exe)-- тут обнаружены Win32RBot, BackdoorAgobot.nc,Backdoor.Win32.Webdoz.p, Backdoor.SdBot.ld и Tactslay.B (или W32Agobot-GS)
5) CTFMON.EXE ( из system32 в процессе ctfmon.exe) - здесь CoolWebSearch Ctfmon 32, Infostealer.Raidys и Troj/ Spyhoax-A[/QUOTE]
- эти файлы найти через AVZ. Добавить в карантин и загрузить через ссылку вверху темы.
-
1) В Safe Mode- CureIT ничего не нашел, но AVAST смог найти еще 3 вредоносных файла,зараженные по его мнению Win 95: CIH-1106, Win32:CTX и Win32:Agent-AWB.. Вот логи от CureIT((в Safemode и в обычном режиме)) и Avast (пути файлов, которые потом были удалены). Подозрительны некоторые файлы .exe -как оказалось службы и файлы из автозапуска (архив Rar)
Высылаю подозрительные файлы (службы,которые AVZ посчитал подозрительными). Но при перемещении в карантин некоторых файлов в протоколе AVZ говорится об ошибке прямого чтения--вот лог---файл называется ___avz(pri avtokarantine)_log.txt. Что это означает??
2) P.S. Сомнение вызывает то что временами процесс svchost.exe просится на изменение/перезапись...Avast предлагает эту "перезапись" разрешить/запретить..Я запрещала..Это вообще нормально??? Или все-таки не пускать svchost.exe на изменение???:'-(
3) ДА--и еще пробовала устанавливать McAfee... предлагал потереть некоторые ветки реестра..стоит ли в этом ему довериться??? Хотя тот же HiJakcFree распознает все его модули как вирусные!!! службы!!?? Подскажите,плизз,в чем тут дело...
-
"Карантин" пришел?? Файл сохранён как071012_135114_virus-podozritelnie slujbi_470fc222dd237.zipРазмер файла4823633MD5ecc0d17ebacb8871cc703ee2f6d15260
-
[quote=Irena;141646]1) В Safe Mode- CureIT ничего не нашел, но AVAST смог найти еще 3 вредоносных файла,зараженные по его мнению Win 95: CIH-1106, Win32:CTX и Win32:Agent-AWB.. Вот логи от CureIT((в Safemode и в обычном режиме)) и Avast (пути файлов, которые потом были удалены). Подозрительны некоторые файлы .exe -как оказалось службы и файлы из автозапуска (архив Rar)
Высылаю подозрительные файлы (службы,которые AVZ посчитал подозрительными). Но при перемещении в карантин некоторых файлов в протоколе AVZ говорится об ошибке прямого чтения--вот лог---файл называется ___avz(pri avtokarantine)_log.txt. Что это означает??
2) P.S. Сомнение вызывает то что временами процесс svchost.exe просится на изменение/перезапись...Avast предлагает эту "перезапись" разрешить/запретить..Я запрещала..Это вообще нормально??? Или все-таки не пускать svchost.exe на изменение???:'-(
3) ДА--и еще пробовала устанавливать McAfee... предлагал потереть некоторые ветки реестра..стоит ли в этом ему довериться??? Хотя тот же HiJakcFree распознает все его модули как вирусные!!! службы!!?? Подскажите,плизз,в чем тут дело...[/quote]
________________
Ответьте пожалуйста на Все эти (может даже и не очень умные/логичные) вопросы/запросы:pray:. Это для меня Оччень важно!!!!!!!!:plach:
___
P.S>Может я :262:....или не все так плохо???
-
Да,еще,если не трудно...если программа/диск(виртуальный) содержит "decompression bomb"? Это нормально?Так и должно быть?:?
-
Это файл очень большого размера. Вполне м.б. и безвредный.
-
Спасибо,PavelA, а на предыдущие вопросы ответьте,если можно...
Page generated in 0.01059 seconds with 10 queries