-
Junior Member
- Вес репутации
- 61
Подозрения на вирусы :( помогите, плс, разобраться
Доборого времени, хелперы! вроде защитил свой комп "по науке", но кажется где-то зацепил зловред. Подозрения связаны с те что:1. Комп периодически зависает, при этом 100% ресурсов съедают две проги - АутПост и csrss.exe и вдруг появляется нехватка виртуальной памяти2. Иногда при попытке запуска Вордовских файлов запускаются не сами файлы, а Windows-installer3. AVZ стал работать с ошибками, он стал видеть не все запущенные процессы , но зато он стал замечать уязвимости, которые ранее не было До этого при проверке антивирусом AVZ на уязвимости, комп не имел ни одной видимой уязвимости.т.к. не получается приаттачить файлы логов здесь, я их выложил на файлообменнике:
Последний раз редактировалось alex_2007; 04.11.2007 в 20:57.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
http://www.filemaster.ru/files/i3441 - это карантин, затрите вашу ссылку
-
-
Junior Member
- Вес репутации
- 61
не может быть, я там прикрепил файл: virusinfo_syscheck.zipесли я не прав, то файл выложу повторно. а как затереть ссылку или отредактировать свой первый пост?
Добавлено через 1 минуту
случайно все ссылки снёс
Последний раз редактировалось alex_2007; 04.11.2007 в 20:57.
Причина: Добавлено
-
Поищите через AVZ файл ie.exe - если найдете, добавьте в карантин и пришлите по приложению 3 Правил
Добавлено через 1 минуту
В ссылках были - hijackthis.log, virusinfo_syscheck.zip, virusinfo_cure.zip...
Вместо virusinfo_cure.zip загрузите visusinfo_syscure.zip
Последний раз редактировалось rubin; 04.11.2007 в 20:59.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 61
Выложить по правилам ie.exe не получается AVZ выдаёт сообщение: "Ошибка карантина файла, попытка прямого чтения (С:\Windows\system32\ie.exe) Карантин с использованием прямого чтения - ошибка"Можно я его сам заархивирую паролем и выложу?А с логами я видать протупил и не тот лог сделал, сейчас исправлюсь, извините.
-
Ну адрес файла мы определили, можете либо сами в архив с паролем отправить, либо выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\ie.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
и загрузите карантин по приложению 3 Правил
-
-
Junior Member
- Вес репутации
- 61
Бермудский треугольник какой-то Файла ie.exe по адресу C:\Windows\system32\ie.exe - НЕТ! Видимо по этой причине его AVZ в карантин скопировать не может ни своими силами, ни при помощи специально написанного скрипта А вместо этого пишет про ошибку прямого чтения...А вот лог-файл visusinfo_syscure.zip я сделал и выложил по адресу: http://www.filemaster.ru/files/i3448
-
1. Попробуем так...
Код:
begin
QuarantineFile('ie.exe','');
end.
Если закарантинится, то прикрепите карантин согласно приложению 3 Правил.
2. Затем
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('G:\autorun.inf','');
DeleteFile('G:\autorun.inf');
ExecuteSysClean;
RebootWindows(true);
end.
3. Что вам из этого не нужно?
Код:
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
В остальном логи чисты...
-
-
Junior Member
- Вес репутации
- 61
1. Увы, он не попал в карантин . Его не находит и Windows при поиске файла. Может этот паразит сам себе поменял название? Я могу выслать скриншот всех файлов изменённых от... до... 2. Второй скрипт сейчас нужно выполнять? 3. Обе эти уязвимости мне не нужны, я хочу эти дырки закрыть, пока точно не знаю какие службы отключить >> Безопасность: Разрешены терминальные подключения к данному ПК>> Безопасность: Разрешена отправка приглашений удаленному помошнику
-
1. Его в логах и не было... просто в карантиненном autorun.inf был запуск этой программы, возможно она была удалена ранее.
2. Выполните
3. Скажите, если не нужны - пофиксим
-
-
наверно стоит выполнить это
-
-
Junior Member
- Вес репутации
- 61
1. п.2 выполнил.2. дырки мне, конечно, не нужны. давайте пофиксим, скажите, плиз, как.3. по поводу сказаного V_Bond на http://virusinfo.info/showthread.php?t=8877 хочу спросить: можно ли для автоматизации процесса задать поиск файлов по названию "autorun" и одним махом их всех удалить? чтоб не лазить руками по всем папкам, у меня их немеряно..
-
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RebootWindows(true);
end.
Можно задать в AVZ поиск файлов по маске autorun.*, там и удалить
-
-
Junior Member
- Вес репутации
- 61
всё выполнил, но:
две "дырки"-уязвимости сохранились а у AVZ не включается функция AVZGuard пишет ошибку "Ошибка AVZGuard: С0000061"
при удалении ключа из реестра " HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2." его удаётся удалить только для "текущего пользователя", а для прочих USERS этот ключ не удаляется. это нормально?
Добавлено через 3 минуты
Я не давно обновлял АутПост с версии 3.0 до версии 5.0. Может комп чист, а новый АутПост вредничает? никто на него не жаловался?
Последний раз редактировалось alex_2007; 05.11.2007 в 00:47.
Причина: Добавлено
-
на всякий случай выполните скрипт ....
Код:
begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(17);
ExecuteRepair(16);
end.
у вас все пользователи с правами админа .... значит ключ реестра удалите для каждого
-
-
Junior Member
- Вес репутации
- 61
Извините, я заморочился сам и Вам голову заморочил, но кажется разобрался почти во всём. Все эти траблы оказываются только в режиме, когда я работаю с правами юзера, а врежиме админа остаётся только глюк с Аутпостом 5.0. и csrss.exe. Я поговорил с парнями которые тоже юзают новый Аутпост, тоже грешат на этот глюк. Понять толком не могу почему у меня под юзером AVZ работает глючно, но аналог "мнимой" глючности под юзером, описан на Вашем сайте, только для НОД32.Так что извините, пожалуйста, за беспокойство я Вам очень благодарен за помощь! А вот ещё, а почему Вы говорите, что у меня вся работают под админами? Я же точно сделал, всё как написано в книге Н.Головко "Безопасный интернет...." только одну запись админа, а все остальные юзерские?
-
вы все верно сделали ... я просто у вас уточнял....
-
-
Junior Member
- Вес репутации
- 61
-
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
-