86 подозрен. в AVZ на win.reg.zapchast.e

Printable View

Показывать 40 сообщений этой темы на одной странице

18.02.2008, 19:17
fortun

Вложений: 3

86 подозрен. в AVZ на win.reg.zapchast.e

1 firewall постоянно фиксирует попытку приложений выйти в интернет и изменение родительского приложения
2 ad-aware не удаляет root
3 avz находит подмену имени и перехват функций
4 86 подозрен. в AVZ на win.reg.zapchast.e
18.02.2008, 19:25
V_Bond

деинсталируйте адваре и поставте полноценный антивирус ....
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\7z.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
18.02.2008, 20:22
fortun

карантин пуст а антивирус нашёл trojan-gen
18.02.2008, 20:24
V_Bond

где и что было найдено .. ?
18.02.2008, 21:13
fortun

во время выполнения скрипта антивирус нашёл win32:Trojan-gen {Other}
имя vdi3otqy.sys
C\windows\sistem32\drivers
18.02.2008, 21:23
V_Bond

пофиксите ...
[code]
O3 - Toolbar: (no name) - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - (no file)
[/code]
выполните скрипт ....
[code]
begin
DeleteFile('C:\WINDOWS\system32\7z.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
больше в логе не видно ничего подозрительного ....
18.02.2008, 21:31
fortun

пофиксить в HT ?
а комп должен был сам перезагрузиться после первого скрипта ?
18.02.2008, 21:44
V_Bond

профиксить в HT ... перегрузиться должен ...
18.02.2008, 21:57
fortun

при выполнении скрипта антивирус опять нашёл тот же троян
(в первый раз я поместил трояна в хранилище)
18.02.2008, 21:58
V_Bond

удаляйте ... он похоже просто болтается на диске без дела ....
18.02.2008, 22:00
fortun

всё удалил! а как проверить исчез ли он совсем
почему он появляется только во время скрипта ?
18.02.2008, 22:13
V_Bond

для надежности ... контрольный в голову ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\drivers\vdi3otqy.sys');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
18.02.2008, 22:31
fortun

он опять появился во время скрипта
18.02.2008, 22:48
wise-wistful

Профиксите
[code]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\7z.exe,[/code]

Затем в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('catchme', 4);
StopService('catchme');
DeleteFile('C:\DOCUME~1\1234\LOCALS~1\Temp\catchme.sys');
BC_DeleteFile('C:\DOCUME~1\1234\LOCALS~1\Temp\catchme.sys');
DeleteFile('C:\WINDOWS\system32\7z.exe');
BC_DeleteFile('C:\WINDOWS\system32\7z.exe');
DeleteService('catchme');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
18.02.2008, 23:26
fortun

а пофиксить где в HT , если да то там такой строки нет , хотя в логе файла который я отослал есть
18.02.2008, 23:33
V_Bond

авз пофиксил ....
какие-то проблемы остались ?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=fortun;189882] хотя в логе файла который я отослал есть[/QUOTE]
не понял ...
18.02.2008, 23:54
fortun

для V Bond
вовремя контрольного выстрела троян опять появился
потом мне пришёл совет wise-wistful но нужной строчки в HT нет, а в логе есть
19.02.2008, 00:00
V_Bond

на время выполнения скрипта вы не отключали антивирус ... ?
19.02.2008, 00:02
akok

Если нет то это значит, что AVZ хорошо отработала
19.02.2008, 00:05
fortun

нет

Показывать 40 сообщений этой темы на одной странице