я смотрел лог из поста №37 .... там его нет ...
я смотрел лог из поста №37 .... там его нет ...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ладно, спросим у юзера.
@molchan
Comodo Firewall установлен?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
нет был раньше удалил 2дня назад
Вот значит драйвер от него и болтается.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
mchInjDrv.sys >>>>> Rootkit.Win32.Agent.go AVZ - если его видит не сомневается ... в любом случае можно разрешить авасту его убивать ... хуже не будет точно
брат лихой так как же его удалить.
можно так :
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\Profi\Рабочий стол\Димена папка\avast\mchInjDrv.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
и еще такой ...
в SAFE MODE
выполните скрипт ...
затем сделайте такой лог ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys'); BC_DeleteSvc('mchInjDrv'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
http://virusinfo.info/showthread.php?t=10387
Давайте все-таки разберемся.
На рабочий стол файл попал после того, как я попросил загрузить его сюда в виде zip-файла. Если бы это был живой руткит, он бы так просто не дался.
В логах Аваста он только в директории drivers - это остаток от Comodo
IMHO
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
я надеюсь что все правильно сделал.
нет этого файла на доступных мне машинах с комодо ...
AVZ - его , его однозначно детектит , если видит ...
аваст тоже ... этого кажется достаточно ...
Добавлено через 5 минут
mchInjDrv.sys - удален ...
у вас действительно болтаются остатки от комодо ... (но вполне известные)
и хвосты от касперского (кажется даже от разных версий ) ...
Последний раз редактировалось V_Bond; 27.09.2007 в 17:40. Причина: Добавлено
ну счас все в порядке?всем от души спасибо.
думаю драйвера от комодо и каспера не нужны ...
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('\??\C:\WINDOWS\system32\drivers\klif.sys'); DeleteFile('\??\C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys'); DeleteFile('\??\C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys'); DeleteFile('\??\C:\Program Files\Comodo\CBOClean\BOCDRIVE.sys'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
еще раз логи прислать?
Последний раз редактировалось molchan; 27.09.2007 в 18:07.
ничего подозрительного ...
чем из этого пользуетесь .? остальное поможем закрыть ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
да наверное ни чем,у меня интернет через стрим работает.
выполните скрипт ...
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('Alerter', 4); SetServiceStart('TlntSvr', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
все сделал.всем огромное спасибо.
Coветуем прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны ...
удачи ...
mchInjDrv.sys - ответ из ЛК - файл чистый.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) molchan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
