Здраствуйте! У меня такая проблема: при проверке AVZ пишет "маскировка процесса" причем всех, которые выполняются.
Также пишет "Нарушение ассоциации SCR файлов". Посмотрите пожалуйста логи.
Printable View
Здраствуйте! У меня такая проблема: при проверке AVZ пишет "маскировка процесса" причем всех, которые выполняются.
Также пишет "Нарушение ассоциации SCR файлов". Посмотрите пожалуйста логи.
выполните скрипт ...
[code]
begin
QuarantineFile('C:\DOCUME~1\9226~1\LOCALS~1\Temp\TWgMy58d.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Карантин прислал, как просили
Карантин пустой. Поищите при помощи АВЗ сервис--поиск файлов на диске [b]TWgMy58d.sys[/b], Если найдётся, тогда вышлите согласно приложения 2 правил.
Не нашел
Вот новые логи
Ну вы мне поможете нет? :(
Мне думается это у вас файрвол шалит :) Для проверки моей гипотезы, надо деинсталировать файрвол , перегрузиться и сделать свежие логи.
Вряд ли. Файервол я поставил уже после создания этой темы. Так что он, я думаю, не причем
ничего подозрительного в логах нет ...
Spybot - удалите - вещица бесполезная при наличии такого серьезного антивируса как у вас ...
virusinfo_syscheck.zip повторите ....
Не думаю что spybot бесполезен: DrWeb ничего не видел, проверил spybot'ом и он нашел червей в ключах реестра.
черви в ключах .... ... лешие из реестра .... интересно что дальше ... ? :)
То бишь не может быть такого??? :O Что тогда находит spybot???
находит ключ реестра в чем честно и признается ... причем чаще всего пустой ...
Что то я вообще не догоняю... То вы рекомендуете эту программу ([url]http://virusinfo.info/showthread.php?t=1431[/url]), то говорите удалить ее... Определитесь уже.
дату посмотрите ... сейчас это не актуально ...
весьма интересная информация ... [url]http://virusinfo.info/showthread.php?t=2800[/url]
Ну там тоже тесты не первой свежести :D, но наскоко я понял мне вполне хватит одного DrWeb'а. Ну и Agnitum Firewall. Кстати вот мои новые логи, посмотрите пожалуйста, мне не нравится там такие фразы при проверке:
\FileSystem\ntfs[IRP_MJ_CREATE] = 825621E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 825621E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 825621E8 -> перехватчик не определен
И их там не мало :(
эти перехваты от DAEMON Tools ...
в качестве фаервола поставте бесплатный comodo - отличный фаервол ...
Раньше не было такого... И если мне не изменяет память, то вот эта информация отображала перехваты DAEMON Tools
\driver\tcpip[IRP_MJ_CREATE] = F7397BD4 -> C:\WINDOWS\system32\DRIVERS\afw.sys
\driver\tcpip[IRP_MJ_DEVICE_CONTROL] = F7397F0C -> C:\WINDOWS\system32\DRIVERS\afw.sys
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = F7397D8E -> C:\WINDOWS\system32\DRIVERS\afw.sys
\driver\tcpip[IRP_MJ_CLEANUP] = F7397CC2 -> C:\WINDOWS\system32\DRIVERS\afw.sys
Но comodo наскоко я знаю только с англ интерфейсом :( Хотя может и ошибаюсь
[code]
\driver\tcpip[IRP_MJ_DEVICE_CONTROL] = F7397F0C -> C:\WINDOWS\system32\DRIVERS\afw.sys
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = F7397D8E -> C:\WINDOWS\system32\DRIVERS\afw.sys
\driver\tcpip[IRP_MJ_CLEANUP] = F7397CC2 -> C:\WINDOWS\system32\DRIVERS\afw.sys
[/code]
это от аутпоста ...
comodo 2,4 русифицирован ....
Ладно вроде пока все ясно. Спасибо большое!