Прошу помочь! Просмотрите пожалуйста логи и дайте рекомендации.
Printable View
Прошу помочь! Просмотрите пожалуйста логи и дайте рекомендации.
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\1E548B80.EXE','');
QuarantineFile('Pdisvrtqrwag.sys','');
QuarantineFile('C:\WINDOWS\stmtrace.exe','');
QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Карантин отправлен согласно правил.
В карантине все чисто. Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('Pdisvrtqrwag');
BC_DeleteSvc('87C6BF00');
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите лог HijackThis.
При выполнении скрипта Antivir обнаружил TR/Agent.AFGN.1 в system32
Вот лог HijackThis
выполните скрипт ...
[code]
begin
DeleteService('Pdisvrtqrwag', true);
DeleteService('87C6BF00', true);
BC_DeleteSvc('Pdisvrtqrwag');
BC_DeleteSvc('87C6BF00');
BC_Activate;
RebootWindows(true);
end.
[/code]
hijackthis.log повторите
При выполнении скрипта Antivir опять обнаружил TR/Agent.AFGN.1 в system32
Вот лог HijackThis
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('87C6BF00');
StopService('Pdisvrtqrwag');
BC_DeleteSvc('Pdisvrtqrwag');
BC_DeleteSvc('87C6BF00');
BC_Activate;
RebootWindows(true);
end.[/CODE]Повторите логи.
Скрипт выполнен. Логи отправлены.
Странно, но опять все на месте. А не пробовали перед выполнением скрипта антивирус отключать? Ведь так по правилам полагается, вроде бы? Попробуйте последний скрипт без антивируса и сделайте еще раз лог HijackThis.
[SIZE=2][B]Однако, AVZ пишит:[/B]
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0846E0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B6E0
KiST = 80503734 (284)
[/SIZE][SIZE=2][COLOR=#ff0000]Функция NtCreateThread (35) перехвачена (805CF804->BAEF5FB4), перехватчик не определен
Функция NtOpenProcess (7A) перехвачена (805C9C46->BAEF5FA0), перехватчик не определен
Функция NtOpenThread (80) перехвачена (805C9ED2->BAEF5FA5), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (805D1170->BAEF5FAF), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805B2D5C->BAEF5FAA), перехватчик не определен
[/COLOR][/SIZE][SIZE=2]Проверено функций: 284, перехвачено: 5, восстановлено: 0
Вот логи после отключения антивируса.
[/SIZE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe[/CODE]Перезагрузитесь и выполните этот скрипт [url]http://virusinfo.info/showpost.php?p=179699&postcount=8[/url] Потом сделайте повторный лог HijackThis.
Выполнено. Вот лог.
Ну вот чудо и свершилось. Сделайте ради интереса лог AVZ, если я прав то неопределенные перехваты должны исчезнуть...
Если чудо свершилось, то наверное не здесь. Перехватчики не выявлены и здравствуют.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SetServiceStart('NVSvc', 4);
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe[/CODE]Повторите логи.
Вот логи...
выполните скрипт ....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\stmctrl.dll','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Карантин отправлен как Вы и просили.
присланный файл чистый .... в логах больше не к чему придраться ...