сново появилось сообщение о модификации ключа проводника
Printable View
сново появилось сообщение о модификации ключа проводника
да еще на компе была произведена попытка поставить AVPtool установка закрылась сама по себе без ошибок, но драйверы похоже успели прописаться в системе....
теперь у меня делема как их удалить
D:\autorun.inf - это что ?
авп почистим ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('klif');
SetServiceStart('klif', 4);
StopService('klif');
DeleteFile('C:\WINDOWS\system32\drivers\klif.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Мастер поиска и устранения проблем - выбрать все проблемы устранить ...
C:\Program Files\Messenger\msmsgs.exe - пишлите на всякий случай ...
понял все сделаю... скорей всего в 17-00 или завтра сейчас уезжаю...
[quote=V_Bond;216708]D:\autorun.inf - это что ?
[/quote]
d:\autoran.inf это мой так сказать простенький сигнализатор флешовых вирей.....
внем содержиться только 1 команда
[CODE][autorun]
icon=1nv.ico[/CODE]
он показывает мой значок флешки вместо стандартного..... и если вдруг значок исчезает, то сразу можно сказать что какая та зараза на флеш прописалась и заменила мой ауторан..... за все время использования эта фишка спасала в 90% случаев....... правда в остальных 10% сталкивался с тем что вирь не заменяет мой ауторан а дописывает свои команды в него..... но в этом случае антивирусник помогал заранее предотвратить заражение.....
п/с
если у кого есть альтернатива такого способа обнаружение вируса буду очень признателен..... просто флеш рабочая и ее приходиться сувать в огромное количество компов и только на единицах из них есть Антивирусы...... Просто до того как я стал пользоваться этим аутораном приходилось кучу компов лечить от одного и того же зверя...
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[quote=V_Bond;216708]Мастер поиска и устранения проблем - выбрать все проблемы устранить ...
[/quote]
это действие провожу регулярно но после каждой попытки выполнить стандартный скрипт 3 сново появляется сообщение о модификации ключа проводника
Ура нашол гадов они сидят в system 32 и как только авз до них доходит они его закрывают=)
удалось закарантинить.... но не уверин что в сех но всеже лутьше чем не чего....
еще после того как нажол зловрелда и в карантин послал снова востановилась ошибка о модификации ключа проводника(мастер поиска и устранение проблем не фиксит:() стандартный скрипт 2 выполнился тоже не скразу а тока с 4 попытки до этого авз закрывалось:(
чтоб не тинуть время прилагаю в текстовом документе то что на шлось в системе и лог тагже отсылаю карантин...
Файл сохранён как
080421_010215_virus_480c2de73f4cc.zipРазмер файла
2910079MD5
62dc1401750b148593436a0b62410589
п/с msmsgs.exe
не закарантинелся если нужно вышлю познее
C:\Program Files\Messenger\msmsgs.exe находиться в папке C:\Program Files\Messenger\[B]bak\[/B]msmsgs.exe
доброго времени суток я некоторое время не мог заниматься данным компом теперь я снова жду ваших указаний
[size="1"][color="#666686"][B][I]Добавлено через 32 минуты[/I][/B][/color][/size]
народ очень надеюсь на вашу помощь это комп сына главы нашей организации и она сменя уже шкуру немать начинает .....
делайте новые логи + авз - сервис -менеджер расширений проводника ...
ууууурааааааааа
удалось написать рабочий скрипт на удоление того что в систем32 сидело......
после скрипта смог зделать норм логи проверьте плиз кого я еще не нашол
п/с
лог HJ
позже прилажу
и где лог расширений проводника...
вот теперь все логи наместе:):D:):D:):D
сорри щас будет..... просто прочел ваш пост после того как все это зделал
вот лог расширений:)
выполните скрипт ....
[code]
begin
QuarantineFile('C:\PROGRA~1\PHOTOF~1\Manager\CONTEX~1.DLL','');
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
простите за офтоп но сегодня заразилась машина у сотрудници
так там авз вылетало с ошибкой [CODE]access violation at adress 004FFB43 in module avz.exe read for adress 0D3E2239[/CODE]
подскажите плиз чем вызвана была ошибка вирусом или еще чемто.....
п/с
пишу сюда просто из-за того что не нашол подходящий раздел где можнобыло бы запостить данный вопрос
[size="1"][color="#666686"][B][I]Добавлено через 4 часа 26 минут[/I][/B][/color][/size]
карантин выслал
Файл сохранён как
080429_080044_virus_48171bfc3dc77.zip
Размер файла
596516
MD5
2e44a2f4085328e4245af0c448a14b9d
жду рекомендаций к действию
все еще жду указаний
[size="1"][color="#666686"][B][I]Добавлено через 55 минут[/I][/B][/color][/size]
ап
присланный файл чистый ....
сообщение о модификации ключа проводника появляется ?
вроде после последнего исправления все стабильно...
спасибо за помощ....
щас от тестю комп и буду отдовать......
п/с
всех с наступающими праздниками :)