Подскажите как удалить 3ри процесса из "Модулей пространства ядра" там висят некие dump_diskdump.sys
dump_dumpfve.sys
dump_nvstor.sys
Под ними явно прячется какой то злобный руткит...
В карантин они не забрасываются(файлов таких не существует) дампы делает но чем их просмотреть понятия не имею, в блокноте выдаёт какую то кракозябру...
AVZ ничем не помог...
С помощью Gmer удалось кое что увидеть, во общем зараза есть однозначно, как избавиться не знаю =(
Помогите!
Последний раз редактировалось IMV83; 31.08.2013 в 23:49.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) IMV83, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Диагностический запуск. Загрузка Windows с использованием только основных служб и драйверов. Этот режим позволяет исключить основные файлы Windows как источник проблем.
Это что msconfig что ли? Короче я так понял всё тоже самое проделать в диагностическом режиме? о_О
1. Да.
2. Нет переделывать не нужно. Просто логи маленькие получились я подумал что вы логи собирали в диагностическом режиме в котором включены только основные службы Windows.
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Значит вирусов у вас нет. Деинсталлируйте MBAM. Пуск--Панель управления--Установка и удаление программ Находим там Malwarebytes' Anti-Malware и нажимаем удалить.
Вы издеваетесь? А вы ничего подозрительного в отчёте АВЗ не заметили?
Плюс я же вам привёл список строк которые мне показались подозрительными в другой программе:
а тут как раз есть перечисленными такие строки, как видите руткит, или его остатки... Раньше стояла 7ка 64битная...
Ещё этот "[4] System.exe" сидит всегда включён, даже если загружался в диагностическом режиме и сеть не работала оно всё равно загружалось и писало что порты открыты...
Вот потому и спрашивал как выгрузить из системы эти процессы dump_diskdump.sys
dump_dumpfve.sys
dump_nvstor.sys
а вам понадобился зачем то целый отчёт... А зараза сто процентов под этими процессами скрывается...
Последний раз редактировалось IMV83; 31.08.2013 в 17:59.
Точно нету! А эти красные записи в АВЗ это что так должно быть?
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:ReadConsoleInputExA (1103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7534A16C->74B87596
Перехватчик kernel32.dll:ReadConsoleInputExA (1103) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1104) перехвачена, метод ProcAddressHijack.GetProcAddress ->7534A18B->74B87572
Перехватчик kernel32.dll:ReadConsoleInputExW (1104) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (267) перехвачена, метод ProcAddressHijack.GetProcAddress ->77385DA0->71B4A9F7
Перехватчик ntdll.dll:NtCreateFile (267) нейтрализован
Функция ntdll.dll:NtSetInformationFile (546) перехвачена, метод ProcAddressHijack.GetProcAddress ->77384820->71B334CF
Перехватчик ntdll.dll:NtSetInformationFile (546) нейтрализован
Функция ntdll.dll:NtSetValueKey (576) перехвачена, метод ProcAddressHijack.GetProcAddress ->773845C8->71B4D10C
Перехватчик ntdll.dll:NtSetValueKey (576) нейтрализован
Функция ntdll.dllwCreateFile (159 перехвачена, метод ProcAddressHijack.GetProcAddress ->77385DA0->71B4A9F7
Перехватчик ntdll.dllwCreateFile (159 нейтрализован
Функция ntdll.dllwSetInformationFile (1875) перехвачена, метод ProcAddressHijack.GetProcAddress ->77384820->71B334CF
Перехватчик ntdll.dllwSetInformationFile (1875) нейтрализован
Функция ntdll.dllwSetValueKey (1905) перехвачена, метод ProcAddressHijack.GetProcAddress ->773845C8->71B4D10C
Перехватчик ntdll.dllwSetValueKey (1905) нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->75427898->71B33537
Перехватчик user32.dll:CallNextHookEx (1531) нейтрализован
Функция user32.dll:SetWindowsHookExW (229 перехвачена, метод ProcAddressHijack.GetProcAddress ->7542F223->71B944D7
Перехватчик user32.dll:SetWindowsHookExW (229 нейтрализован
Недавно ещё в карантин закинуло что то, там "Подозрение на Trojan.Win32.Agent2.byu" и "Trojan-Downloader.Win32.AutoIt.q" и "Подозрение на Backdoor.Win32.Canvas.10"
Куда вам это карантин закинуть?
Интересно у кого это паранойя у меня или у вашего АВЗ?
Я же говорю что буквально недавно прогнал вашим АВЗ снова и уже выдало такое ПОВТОР: Недавно ещё в карантин закинуло что то, там "Подозрение на Trojan.Win32.Agent2.byu" и "Trojan-Downloader.Win32.AutoIt.q" и "Подозрение на Backdoor.Win32.Canvas.10"
Куда вам это карантин закинуть?
Такое ощущение что вы этих п*дарасов которые раскидывают эту дрянь защищаете
Лучше скажите как этот System.exe из "Порты TCP/UDP" убрать а то оно не удаляется что то...
Короче если от вас и так никакой помощи удалите нахрен эту тему и больше меня тут на этом сайте не будет...
Уважаемый(ая) IMV83, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: