-
я смотрел лог из поста №37 .... там его нет ...
-
Ладно, спросим у юзера.
@molchan
Comodo Firewall установлен?
-
нет был раньше удалил 2дня назад
-
Вот значит драйвер от него и болтается.
-
mchInjDrv.sys >>>>> Rootkit.Win32.Agent.go AVZ - если его видит не сомневается ... в любом случае можно разрешить авасту его убивать ... хуже не будет точно ;)
-
брат лихой так как же его удалить.
-
можно так :
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Profi\Рабочий стол\Димена папка\avast\mchInjDrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
-
и еще такой ...
в SAFE MODE
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
BC_DeleteSvc('mchInjDrv');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
затем сделайте такой лог ...
[url]http://virusinfo.info/showthread.php?t=10387[/url]
-
Давайте все-таки разберемся.
На рабочий стол файл попал после того, как я попросил загрузить его сюда в виде zip-файла. Если бы это был живой руткит, он бы так просто не дался.
В логах Аваста он только в директории drivers - это остаток от Comodo
IMHO
-
Вложений: 1
я надеюсь что все правильно сделал.
-
нет этого файла на доступных мне машинах с комодо ...
AVZ - его , его однозначно детектит , если видит ...
аваст тоже ... этого кажется достаточно ...
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
mchInjDrv.sys - удален ...
у вас действительно болтаются остатки от комодо ... (но вполне известные)
и хвосты от касперского (кажется даже от разных версий ) ...
-
ну счас все в порядке?всем от души спасибо.
-
думаю драйвера от комодо и каспера не нужны ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('\??\C:\WINDOWS\system32\drivers\klif.sys');
DeleteFile('\??\C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys');
DeleteFile('\??\C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys');
DeleteFile('\??\C:\Program Files\Comodo\CBOClean\BOCDRIVE.sys');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
-
Вложений: 1
-
ничего подозрительного ...
чем из этого пользуетесь .? остальное поможем закрыть ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
-
да наверное ни чем,у меня интернет через стрим работает.
-
выполните скрипт ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
-
все сделал.всем огромное спасибо.
-
Coветуем прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны ...
удачи ...
-
mchInjDrv.sys - ответ из ЛК - файл чистый.
-
[code]
This message is an automatically generated reply. This system is designed to analyze and process virus submissions into
the Symantec Security Response and cannot accept correspondence or inquiries.
Please contact your Technical Support representative if more detailed
information about your submission is required. Do not reply to this
message.
Below is a status update on your virus submission:
Date: September 27, 2007
First Name Last Name
Dear First Name Last Name,
We have analyzed your submission. The following is a report of our
findings for each file you have submitted:
filename: mchInjDrv.sys
machine: AVCAutomation:
result: [B]This file is detected as Hacktool.Rootkit[/B]. http://www.symantec.com/avcenter/venc/data/hacktool.rootkit.html
[B]Developer notes:
mchInjDrv.sys is non-repairable threat. Please delete this file and replace it if necessary.
[/B]
The current definitions are capable of detecting this virus. Please update your definitions by clicking the "LiveUpdate"
button in your NAV program.
Should you have any questions about your submission, please contact
your regional technical support from the Symantec website and give them
the tracking number in the subject of this message.
[/code]
-----------------------------------------------------------------------
This message was generated by Symantec Security Response automation.
For USA:
For electronic support options, Symantec provides On-Line Services at
[url]http://www.symantec.com/techsupp/[/url]
-
час добрый.У меня вот чтото не записывает на диск,может что отключили,а я просто не в курсе как это запустить.Подскажите по возможности.
-
читайте [URL="http://www.oszone.net/2576/"]это[/URL]
-
поясни мне куда залезть чтобы ее включить
-
Администрирование - Службы компонентов - Корень консоли - Службы компонентов - Компьютеры - Мой компьютер - Настройка DCOM - Microsoft IMAPI. Далее "Свойства", вкладка "Расположение", ставим галочку "Запустить приложение на данном компьютере"...
-
вот это уже по нашему по Бразильский. спасибо.
-
Вложений: 2
вот еще подозрительные вещи нашел
-
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\System32\Drivers\wmibios.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat','');
QuarantineFile('C:\Documents and Settings\NetworkService\NTUSER.DAT','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12636[/url]
-
все понял эта ошибка произошла потому что не очень хорошо разбираюсь в таких вещах.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 30 минут[/I][/B][/color][/size]
Файл сохранён как071003_053406_2007-10-03_4703701e5ad86.zipРазмер файла41250MD5d53e8294716339f0f5bfd58d0c76cfb9
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
и еще прошу всеже меня амнистировать,я всеже признал свою вену.
-
карантин пустой ... вы скрипт выполняли ?
-
[quote=V_Bond;139460]карантин пустой ... вы скрипт выполняли ?[/quote]
конечно выполнил.Может еще что выслать?
-
wmibios.sys , qmgr0.dat , qmgr1.dat , UsrClass.dat ,NTUSER.DAT - поищите через AVZ - сервис - поиск файлов на диске ... если найдутся пришлите их по правилам ...
-
Файл сохранён как071003_075854_virus_4703920ea365f.zipРазмер файла3100386MD5e25487170f7c359361682f51bc5bbd65помоему сделал.
-
по вирустотал ...
C:\WINDOWS\system32\drivers\wmibios.sys -чистый
C:\WINDOWS\repair\RegBack\UsrClass.dat - чистый
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat -чистый
C:\WINDOWS\system32\config\systemprofile\ntuser.dat - чистый
C:\WINDOWS\repair\RegBack\NTUSER.DAT - чистый
C:\Documents and Settings\Администратор\NTUSER.DAT - чистый
-
почему же показывает Аваст что вирус?
-
вам письма с вложениями не приходили ?
сделайте полную проверку CureIt в безопасном режиме ... если что осталось должен справиться ...
-
[quote=V_Bond;139486]вам письма с вложениями не приходили ?
сделайте полную проверку CureIt в безопасном режиме ... если что осталось должен справиться ...[/quote]
пока нет буду ждать.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 38 минут[/I][/B][/color][/size]
[quote=molchan;139493]пока нет буду ждать.[/quote]
до сихпор не пришло.
-
вы наверно меня не поняли .... :) ваш червяк распространяется через почту ...
приходит письмо ,а в нем исполняемый файл ...
-
я пишу что мало в этом понимаю,я не как не пойму, жду письма, уже последним словом хаю службу рассылки.:)
-
сделайте полную проверку Curet и приложите его лог ...
Page generated in 0.00632 seconds with 10 queries