-
Это проявляется в момент запуска любого приложения вместо приложения запускаетя окошка рисунок 1 смотреть выше либо надпись рисунок 2. или приложение просто запускается. Компьтер рабочий находится в сети но это не шутка сисадмина я эту бяку занес с компа клиента когда пытался вылечить его комп, занес через курента от доктор вэба.Клиенту я комп спас спомощью убитием обоих раздел и создание всего по новой, у себя так не могу много нужной. У меня информации. У меня такое подозрение что этя бяка прописывается в ехе файлах.
Просто если смотреть через "ProcessExplorer" что загружается в момент загрузки любой программы то "ProcessExplorer" показывает запуск приложения но приэтом либо окошко с надписью рисунок 1 либо надпись рисунок 2. тобишь ничего вроде левого не подгружается.
-
Ясно, продолжим поиск - нужно выполнить в AVZ скрипт:
[CODE]
begin
SetAVZGuardStatus(True);
ExpRegKey('HKEY_CLASSES_ROOT','.exe',
'reg_exp01.reg');
ExpRegKey('HKEY_CLASSES_ROOT','exefile',
'reg_exp02.reg');
ExecuteRepair(1);
ExecuteRepair(9);
RebootWindows(true);
end.
[/CODE]
И прислать файлы reg_exp01.reg и reg_exp02.reg из папки AVZ в архиве согласно правил
-
Разници нет из под оболочки винды или через тотал командер результат один
-
[quote=skolmykov;366894]Разници нет из под оболочки винды или через тотал командер результат один[/quote]
Тогда нужно пробовать скрипт - отработаем эту версию ... Плюс - как как с расширением - есть разница, запускается *.pif или *.exe ??
PS: идея файлового инфектора маловероятна - AVZ не фиксирует повреждения системных компонент и его самого ...
-
Вложений: 2
AVZ запускается без проблем с любым разрешением из того что вы перечислили.Вот файлы которые вы просили.
-
[quote=skolmykov;366899]AVZ запускается без проблем с любым разрешением из того что вы перечислили.Вот файлы которые вы просили.[/quote]
Ничего аномального не вижу, REG файлы нормальные. Тогда поступим так: нужно в AVZ выполнить меню "Сервис\Поиск файла на диске". Там пометить системный диск в области поиска, маску поиска поставить [B]*.*[/B], поставить птичку "Содержит текст" и ввести образец текста [B]Privet! [/B], и нажать "Пуск". И пускай ищет ... если что найдет - то затем это пометить в списке найденного и нажать "скопировать в карантин", карантин далее нам по правилам (лог результатов поиска можно сюда поместить).
И еще момент - у ProcessExplorer есть полезная фича - кнопка на панели, с иконкой типа перекрестия. Если перетащить ее на любое диалоговое окно, то PE покажет процесс, создавший это окно. Надо это проделать и посмотреть, на какой процесс он укажет (тем более добиться появления такого окна не сложно)
-
Вот что он нашел
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Application Data\Opera\Opera\profile\sessions\autosave.win.bak)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Application Data\Opera\Opera\profile\sessions\autosave.win)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Application Data\Opera\Opera\profile\global.dat)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\images\yandex.ru.idx)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\images\[url]www.google.com.idx[/url])
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\images\ru.search.yahoo.com.idx)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\images\nova.rambler.ru.idx)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\cache4\dcache4.url)
Файл успешно помещен в карантин (C:\Program Files\QIP\Users\<UIN>\History\<UIN>.txt)
Файл успешно помещен в карантин (C:\Program Files\QIP\Users\<UIN>\History\<UIN>.txt)
Файл успешно помещен в карантин (C:\Program Files\QIP\Users\<UIN>\History\<UIN>.txt)
-
[quote=skolmykov;366939]Вот что он нашел
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Application Data\Opera\Opera\profile\sessions\autosave.win.bak)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Application Data\Opera\Opera\profile\sessions\autosave.win)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Application Data\Opera\Opera\profile\global.dat)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\images\yandex.ru.idx)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\images\[URL="http://www.google.com.idx"]www.google.com.idx[/URL])
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\images\ru.search.yahoo.com.idx)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\images\nova.rambler.ru.idx)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\cache4\dcache4.url)
Файл успешно помещен в карантин (C:\Program Files\QIP\Users\<UIN>\History\<UIN>.txt)
Файл успешно помещен в карантин (C:\Program Files\QIP\Users\<UIN>\History\<UIN>.txt)
Файл успешно помещен в карантин (C:\Program Files\QIP\Users\<UIN>\History\<UIN>.txt)[/quote]
Через Opera обсуждается данная тема, через QIP явно запрашивалась консультация - поэтому в их кешах и логах есть это слово. К сожалению ничего исполняемого не попалось ... Тогда отрабатываем следующий вариант: нужно запустить ProcessExplorer, добиться появления этого окна запустив что-то и не закрывая это окноперетащить на него кнопку с иконкой типа перекрестия из Process Explorer. Если перетащить эту кнопку на любое диалоговое окно, то PE покажет процесс, создавший это окно. Надо это проделать и посмотреть, на какой процесс он укажет
-
Он показывает тот процес который я запустил в данном случае я запустил винамп и РЕ показывает на него.
Тут к стати я сейчас попробыал прошлый ваш совет где мы искали слово Privet! я сейчас запустил так же только слово (Х....У) и сейчас идет проверка но результат меня не радует такое чуство что сидит это слово везед сейчас закончит проверку я пришлу карантин и сюда выложу логи.
-
[quote=skolmykov;367151]Он показывает тот процес который я запустил в данном случае я запустил винамп и РЕ показывает на него.
Тут к стати я сейчас попробыал прошлый ваш совет где мы искали слово Privet! я сейчас запустил так же только слово (Х....У) и сейчас идет проверка но результат меня не радует такое чуство что сидит это слово везед сейчас закончит проверку я пришлу карантин и сюда выложу логи.[/quote]
OK, тогда ждем результат и будем пробовать другие методы поиска - их еще штук 5 осталось :)
[size="1"][color="#666686"][B][I]Добавлено через 38 минут[/I][/B][/color][/size]
[quote=skolmykov;367151].... меня не радует такое чуство что сидит это слово везед сейчас закончит проверку я пришлу карантин и сюда выложу логи.[/quote]
В таком случае карантин можно не слать - короткое слово может находиться в сотне мест, особенно в кешах браузера. Можно поставить фильтр на расширения EXE, DLL, SYS.
Далее следующие рецепт - по ссылке [URL]http://www.z-oleg.com/avz02290306001.exe[/URL] лежит хитрый инструмент, EXE размером 1.4 мб. Его нужно скачать, положить куда угодно (например, на рабочей стол, если нужно дать расширение PIF), и запустить. Он поработает некоторое время, создастся папка LOG. virusinfo_syscure.zip оттуда нужно прицепить в эту тему (это логи), а virusinfo_files_имяПК.zip нужно прислать через форму [URL]http://virusinfo.info/index.php?page=uploadclean[/URL] (MD5 архива, котиорый сообщит форма загрузки, желательно запостить сюда)
-
я скинул карантин там три файла всего остальное не стал так как после полной проверки нашел 3111 файлов из 68000 и когда я начил их копировать в карантин то у меня кончилось место на жеском диске поэтому я решил проверить только папку виндовс и из нее выбрал 3 файла что бы Вы посмотрели их. У меня подозрение что эта бяка идет как микро код который прописался у меня на компе в файлах и теперь так себя ведет.
-
[quote=skolmykov;367193]я скинул карантин там три файла всего остальное не стал так как после полной проверки нашел 3111 файлов из 68000 и когда я начил их копировать в карантин то у меня кончилось место на жеском диске поэтому я решил проверить только папку виндовс и из нее выбрал 3 файла что бы Вы посмотрели их. У меня подозрение что эта бяка идет как микро код который прописался у меня на компе в файлах и теперь так себя ведет.[/quote]
Да, файлы из папки Windows нужно прислать нам и далее логи/файлы от указанного мной выше анализатора на базе AVZ - он ищет больше, чем обычная версия
-
фаил с именем virusinfo_files_TELKO-SKLAD2 скинул по форме как вы просили
програмка после проверки закрылась сама
логи не смог увидеть система тормозит по страшному
-
Вложений: 1
Вот еше второй фаил после скана вашей утелитки
-
[quote=skolmykov;367199]Вот еше второй фаил после скана вашей утелитки[/quote]
1. По этому логу нужно выполнить в обычном AVZ скрипт:
[CODE]
begin
QuarantineFile('C:\WINDOWS\system32\DRIVERS\UStork.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\MS1000.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\KMWDFilter.SYS','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ggsemc.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\csrbcxp.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\btcusb.sys','');
QuarantineFile('C:\WINDOWS\system32\ati2sgag.exe','');
QuarantineFile('C:\WINDOWS\system32\ufdsvc.exe','');
QuarantineFile('C:\WINDOWS\system32\UTSCSI.EXE','');
end.
[/CODE]
и прислать карантин. Пока в логах и пришедшем карантине ничего особо опасного не видно. Это парвое.
2. Далее отработаем версию с чем-то хитро маскирующимся. Для его поиска нужно провести анализ ПК утилитой GMER (это в отличе от AVZ специализированный антирутикит и он может увидет больше) - вот инструкция - [URL]http://virusinfo.info/showpost.php?p=351873&postcount=1[/URL], логи GMER нужно прицепить сюда
3. В AVZ нужно активировать AVZPM через меню, перезагрузить ПК и повторить исследование системы согласно правилам, логи прицепить сюда - может быть, в этом режиме что-то найдется
4. Выполнив 1-3 стоит попробовать поставить опыт - отключить сеть, перезагрузить ПК и посмотреть, будет такой глюк или нет
Итого, сдем результатов выполнения данных шагов, если не поможет, придется пускать в ход тяжелую артиллерию :)
-
Вложений: 1
вот лог после GMER:
и так же прикрепляю егоже
GMER 1.0.14.14536 - [url]http://www.gmer.net[/url]
[CODE]Rootkit scan 2009-03-06 12:16:12
Windows 5.1.2600 Service Pack 2
---- Kernel code sections - GMER 1.0.14 ----
? C:\WINDOWS\system32\Drivers\PROCEXP100.SYS Не удается найти указанный файл. !
---- User code sections - GMER 1.0.14 ----
.text C:\WINDOWS\Explorer.EXE[508] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 13143570
.text C:\Program Files\Total Commander\Totalcmd.exe[624] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00713799 C:\Program Files\Total Commander\Totalcmd.exe (Total Commander 32 bit international version, file manager replacement for Windows/C. Ghisler & Co.)
.text C:\Program Files\Internet Explorer\iexplore.exe[2016] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 0041C1F3 C:\Program Files\Internet Explorer\iexplore.exe (Internet Explorer/Корпорация Майкрософт)
.text C:\Program Files\Winamp\winamp.exe[2020] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 0055D84F C:\Program Files\Winamp\winamp.exe (Winamp/Nullsoft)
.text C:\Program Files\Winamp\winamp.exe[2020] USER32.dll!SetScrollInfo 77D3902C 7 Bytes JMP 018AA68D C:\Program Files\Winamp\Plugins\gen_jumpex.dll
.text C:\Program Files\Winamp\winamp.exe[2020] USER32.dll!GetScrollPos 77D3F66F 5 Bytes JMP 018AA63D C:\Program Files\Winamp\Plugins\gen_jumpex.dll
.text C:\Program Files\Winamp\winamp.exe[2020] USER32.dll!SetScrollRange 77D3F6BB 5 Bytes JMP 018AA6E3 C:\Program Files\Winamp\Plugins\gen_jumpex.dll
.text C:\Program Files\Winamp\winamp.exe[2020] USER32.dll!SetScrollPos 77D3F780 5 Bytes JMP 018AA6B8 C:\Program Files\Winamp\Plugins\gen_jumpex.dll
.text C:\Program Files\Winamp\winamp.exe[2020] USER32.dll!GetScrollRange 77D3F7B7 5 Bytes JMP 018AA662 C:\Program Files\Winamp\Plugins\gen_jumpex.dll
.text C:\Program Files\Winamp\winamp.exe[2020] USER32.dll!ShowScrollBar 77D40142 5 Bytes JMP 018AA711 C:\Program Files\Winamp\Plugins\gen_jumpex.dll
.text C:\Program Files\Winamp\winamp.exe[2020] USER32.dll!GetScrollInfo 77D43A2F 7 Bytes JMP 018AA615 C:\Program Files\Winamp\Plugins\gen_jumpex.dll
.text C:\Program Files\Winamp\winamp.exe[2020] USER32.dll!EnableScrollBar 77D87BAD 7 Bytes JMP 018AA5ED C:\Program Files\Winamp\Plugins\gen_jumpex.dll
.text C:\Program Files\The Bat!\thebat.exe[2612] kernel32.dll!CreateProcessW 7C802332 2 Bytes JMP 00F8792B C:\Program Files\The Bat!\thebat.exe (The Bat! E-Mail Client by Ritlabs/Ritlabs S.R.L.)
.text C:\Program Files\The Bat!\thebat.exe[2612] kernel32.dll!CreateProcessW + 3 7C802335 2 Bytes [ 78, 84 ]
.text C:\Serg\Soft\Sistem\ProcessExplorer\procexp.exe[2688] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 00793974 C:\Serg\Soft\Sistem\ProcessExplorer\procexp.exe (Sysinternals Process Explorer/Sysinternals)
.text C:\Program Files\Opera\opera.exe[3124] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 0041E6B5 C:\Program Files\Opera\opera.exe (Opera Internet Browser/Opera Software)
---- Devices - GMER 1.0.14 ----
AttachedDevice \FileSystem\Ntfs \Ntfs amon.sys (Amon monitor/Eset )
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
---- Registry - GMER 1.0.14 ----
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?3?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@#\4A\4B\4@\4>\49\4A\4B\0042\4>\4 \0B\0l\0u\0e\0t\0o\0o\0t\0h\0 \0(\0?\4@\4>\4B\4>\4:\4>\4;\4 \0R\0F\0C\0O\0M\0M\0 \0T\0D\0I\0) 1?2?3?4?5?6?7?
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0008f41620ee
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011f602019e
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011f60201ed
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011f602020b
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011f602020b@0018138e486f 0x1B 0x19 0x3E 0xDE ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011f602022b
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0015830c2f1e
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0015830c2f49
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0018e407cdbb
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0018e407cdbb@0018138e486f 0xD2 0x6A 0x32 0x68 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0018e407ce71
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0018e407ce71@0018138e486f 0x58 0xC8 0x94 0xC6 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0018e407d474
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0018e407d568
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x79 0x58 0xEC 0xF9 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xF7 0x98 0x3C 0x67 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xB9 0xAD 0x42 0x5B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\SysmonLog\Log Queries\{54ea56b0-6134-4704-ad87-02579b0c9731}@\20\4B\4@\48\0041\4C\4B\4K\4 \0E\4@\0040\4=\0045\4=\48\4O\4 \0004\0040\4=\4=\4K\4E\4 33
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?3?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@#\4A\4B\4@\4>\49\4A\4B\0042\4>\4 \0B\0l\0u\0e\0t\0o\0o\0t\0h\0 \0(\0?\4@\4>\4B\4>\4:\4>\4;\4 \0R\0F\0C\0O\0M\0M\0 \0T\0D\0I\0) 1?2?3?4?5?6?7?
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0008f41620ee
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0011f602019e
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0011f60201ed
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0011f602020b
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0011f602020b@0018138e486f 0x1B 0x19 0x3E 0xDE ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0011f602022b
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0015830c2f1e
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0015830c2f49
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0018e407cdbb
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0018e407cdbb@0018138e486f 0xD2 0x6A 0x32 0x68 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0018e407ce71
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0018e407ce71@0018138e486f 0x58 0xC8 0x94 0xC6 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0018e407d474
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0018e407d568
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x79 0x58 0xEC 0xF9 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xF7 0x98 0x3C 0x67 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xB9 0xAD 0x42 0x5B ...
Reg HKLM\SYSTEM\ControlSet003\Services\SysmonLog\Log Queries\{54ea56b0-6134-4704-ad87-02579b0c9731}@\20\4B\4@\48\0041\4C\4B\4K\4 \0E\4@\0040\4=\0045\4=\48\4O\4 \0004\0040\4=\4=\4K\4E\4 33
---- EOF - GMER 1.0.14 ----[/CODE]
-
так же отправил карантин после вашего скрипта
-
Вложений: 2
Выполнил ваши советы по путнктам 1-3.
Вот файлы.
-
[quote=skolmykov;367252]так же отправил карантин после вашего скрипта[/quote]
Причина прояснилась, равно как метод реализации :) Для уверенности на 100% нужно сделать такую вещь:
1. Запустить AVZ, активировать AVZGuard
2. Из меню AVZGuard запустить что угодно как доверенное, например блокнот или любую другую программу). Окошко с сообщение не должно отображаться
3. Выключить AVZ Guard
-
Выполнил 4 пункт проблема не ушла. Кстати по поводу сети я нахожусь в сети нашей внутренней и через нее выхожу в инет но эта бяка сидит тока у меня так как я не выхожу по сети на внутренний сервер либо на какой нить комп внутри сети. Мое подозрение втом что если я выйду по локалке на другой комп и запущу какое нить приложение то эта бяка попадет на сервак либо на другой ком или если из сети у меня что нить запустят тогда эта бяка пойдет дальше и т.д. и т.п.
а я сижу с этой ябякой уже с 3,03,09 числа и она пока тока у меня. Я так понимаю что она сама не распространяется по сети она подсаживается на ехе и потом при запуске на другом компе активируется
Page generated in 0.01595 seconds with 10 queries