-
AVZ не создает логи.
Система ВИН98. Неустойчивый инет. не могу порой зайти на mail.ru
На рабочем столе появлялись какие-то экзешники. Убивал не запуская.
hijackthis.log создан
AVZ работает, но в конце работы выдает надпись invalid variant type
создан только virusinfo_cure.zip длиной 22 байта.
Потому привожу выдержки из сообщений, хотя это и не полагается...
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: LoadLibraryA - 00505A4D<>BFF776D0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: GetDC - 00505A4D<>BFF5249D
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: FreeSid - 00505A4D<>BFE82125
Анализ ws2_32.dll, таблица экспорта найдена в секции .rdata
Анализ wininet.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: InternetOpenA - 00505A4D<>7022A5FB
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: LoadLibraryA - 00505A4D<>BFF776D0
Детектирована модификация IAT: GetProcAddress - 00000002<>BFF76DA8
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: GetDC - 00505A4D<>BFF5249D
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: FreeSid - 00505A4D<>BFE82125
Анализ ws2_32.dll, таблица экспорта найдена в секции .rdata
Анализ wininet.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: InternetOpenA - 00505A4D<>7022A5FB
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 18
Анализатор - изучается процесс 4293090533 C:\WINDOWS\SYSTEM\NVMCTRAY.DLL
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
-
Обновите базы AVZ и попробуйте снова сделать стандартные логи, как написано в правилах. Если не получится, то сделайте так: Зайдите в AVZ - Файл - Исследование Системы
Нажмите на "Пуск" и сохраните протокол. Полученный протокол прикрепите сюда.
-
С обновленными базами получилось
-
Вы логи АВЗ делали под администратором?
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
В АВЗ сервис--поиск файлов на диске, поищите [b]winstart.bat[/b] и пришлите его согласно приложению 2 правил.
-
В администрировании я чайник... под 98-й это возможно?
[B]winstart.bat нашел. там только 2 байта - 0Dh 0Ah[/B]
-
[QUOTE=tch;202843]В администрировании я чайник... [/QUOTE]
логи нужно делать [B]под прользователем с правами администратора[/B]
у вас такие права есть ?
-
комп мой личный, права наверное есть. на как в 98 й винде этими правами воспользоваться?
-
ссори не посмотрел что 98 ...
-
[QUOTE=tch;202843]В администрировании я чайник... под 98-й это возможно?[/QUOTE]Нет ;).[QUOTE=tch;202843]
[B]winstart.bat нашел. там только 2 байта - 0Dh 0Ah[/B][/QUOTE]а файл прочитать текстовым эдитором можете?
-
Так текстовым и смотрел, в hex формате
Как я понимаю, там только перевод каретки...
-
C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL - пришлите согласно приложения 3 правил ...
-
[QUOTE=tch;202849]Так текстовым и смотрел, в hex формате
[/QUOTE]
батники пишутся как [B]текстовые файлы[/B] т.е. в ASCII - знаках. Если это не так - то это и не батник ;)
-
Отправил. Может снести флешгет сразу?
Насчет батника - 0D 0A - это всего лишь перевод строки... enter , не более.
просто во вьювере пустая строка не видна
-
Это нормальный батник. Просто, в своё время, был нехороший батник с таким именем и немного другим наполнением.;)
-
Был был нехороший батник в природе или был у меня? У меня как то при загрузке комп выматерился что какой - файл не является PE приложением или что-то вроде того. Я нашел этот файл, имя состояло из одних цифр, но длина была нулевой, но он был прописан в автозагрузке. Я его удалил, и из загрузки выгрузил. Видимо он самоликвидировался... Вот я и думаю, может с батом подобное?
И сносить мне флешгет?
-
C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL - Adware-FlashGet так что на ваше усмотрение ....
думаю просто стоит поставить версию посвежее ...
-
V_Bond, спасибо. Перейду на другую качалку. Флешгет себя запятнял. А что сделать, чтобы экзешники на рабочий стол не лезли? Было уже 3 штуки. Один с именем из одних цифр, один с бессмысленным названием и один кажется назывался admin*.exe (это на 98-й винде :) )... Я эту дрянь мочу на месте, но жена может по незнанию кликнуть...
-
переходите на более защищенню ось например XP ....
-
Значит, с этим ничего не сделать? Жаль. Но и ХР не панацея. У дочери подобный экзешник и под хрюном всплыл... Я думал что 98 более защищена... По крайней мере под нее заразу уже не пишут, и под досом я с системой могу успешно побороться
-
[QUOTE=tch;203329].. Я думал что 98 более защищена... [/QUOTE]
:)
у вас локальная сеть есть ?
Page generated in 0.00499 seconds with 10 queries