-
я смотрел лог из поста №37 .... там его нет ...
-
Ладно, спросим у юзера.
@molchan
Comodo Firewall установлен?
-
нет был раньше удалил 2дня назад
-
Вот значит драйвер от него и болтается.
-
mchInjDrv.sys >>>>> Rootkit.Win32.Agent.go AVZ - если его видит не сомневается ... в любом случае можно разрешить авасту его убивать ... хуже не будет точно ;)
-
брат лихой так как же его удалить.
-
можно так :
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Profi\Рабочий стол\Димена папка\avast\mchInjDrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
-
и еще такой ...
в SAFE MODE
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
BC_DeleteSvc('mchInjDrv');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
затем сделайте такой лог ...
[url]http://virusinfo.info/showthread.php?t=10387[/url]
-
Давайте все-таки разберемся.
На рабочий стол файл попал после того, как я попросил загрузить его сюда в виде zip-файла. Если бы это был живой руткит, он бы так просто не дался.
В логах Аваста он только в директории drivers - это остаток от Comodo
IMHO
-
Вложений: 1
я надеюсь что все правильно сделал.
-
нет этого файла на доступных мне машинах с комодо ...
AVZ - его , его однозначно детектит , если видит ...
аваст тоже ... этого кажется достаточно ...
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
mchInjDrv.sys - удален ...
у вас действительно болтаются остатки от комодо ... (но вполне известные)
и хвосты от касперского (кажется даже от разных версий ) ...
-
ну счас все в порядке?всем от души спасибо.
-
думаю драйвера от комодо и каспера не нужны ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('\??\C:\WINDOWS\system32\drivers\klif.sys');
DeleteFile('\??\C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys');
DeleteFile('\??\C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys');
DeleteFile('\??\C:\Program Files\Comodo\CBOClean\BOCDRIVE.sys');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
-
Вложений: 1
-
ничего подозрительного ...
чем из этого пользуетесь .? остальное поможем закрыть ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
-
да наверное ни чем,у меня интернет через стрим работает.
-
выполните скрипт ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
-
все сделал.всем огромное спасибо.
-
Coветуем прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны ...
удачи ...
-
mchInjDrv.sys - ответ из ЛК - файл чистый.
Page generated in 0.01011 seconds with 10 queries