Писать о подозрениях много, пожалуйста просмотрите логи. У меня ноут с Vista Home Basic(лицезия). Антивирь- NOD32 v.2.7. В интернете через роутер и локальную сеть.
Писать о подозрениях много, пожалуйста просмотрите логи. У меня ноут с Vista Home Basic(лицезия). Антивирь- NOD32 v.2.7. В интернете через роутер и локальную сеть.
Последний раз редактировалось ks07; 27.01.2008 в 16:54.
Выполните
Затем пришлите этот карантин и карантин, полученный в ходе исследованияКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Windows\system32\drivers\pxark.sys',''); QuarantineFile('C:\Windows\System32\Drivers\spof.sys',''); QuarantineFile('C:\Windows\System32\PRTmate.dll',''); BC_ImportQuarantineList; BC_QrFile('C:\Windows\system32\drivers\pxark.sys'); BC_QrFile('C:\Windows\System32\Drivers\spof.sys'); BC_Activate; RebootWindows(true); end.
Пофиксьте
Код:O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - (no file) O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
А восстановление системы, антивирь и брендмауэр Windows отключить ?
профиксил в HiJackThis. После нажатия на профиксить появилось это окно
Карантин загрузили ?
Карантин загрузил с паролем , а также исследование системы выслал
Добавлено через 3 минуты
Исследование запускал из меню "Файл". Или нужно было по нормальному запустить исследование, всмысле через ПУСК.
Последний раз редактировалось ks07; 11.01.2008 в 21:51. Причина: Добавлено
Последний раз редактировалось V_Bond; 11.01.2008 в 21:52. Причина: Добавлено
Хорошо, сделаю по новому, с правами администратора.
Добавлено через 6 минут
пост №2 "Затем пришлите этот карантин и карантин, полученный в ходе исследования". я понял, что нужно выслать 2 файла.зачем ?
Последний раз редактировалось ks07; 11.01.2008 в 21:59. Причина: Добавлено
имелся в виду карантин ... все равно все будет в одном файле -архиве...
карантин загрузил, профиксил.
C:\Windows\system32\drivers\pxark.sys чистый
C:\Windows\System32\PRTmate.dll чистый
C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.ee New Malware.aj
C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe PUA.Packed.UPack-2
D:\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.exe PUA.Packed.UPack-2
D:\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe PUA.Packed.UPack-2
spof.sys - попробуйте поискать припомощи авз и пришлите по правилам ...
Последний раз редактировалось ks07; 11.01.2008 в 23:55. Причина: Добавлено
нужного файла spof.sys в присланном карантине нет ...
эта было дано просто для информации .... кто есть кто так сказать ... что делать с Keygens вам решать ....Код:C:\Windows\system32\drivers\pxark.sys чистый C:\Windows\System32\PRTmate.dll чистый C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.ee New Malware.aj C:\Users\Сергей\Desktop\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe PUA.Packed.UPack-2 D:\Архив программ\Acronis\Registr\Keygens\Acronis Keygen TrueImage10 ACME en.exe PUA.Packed.UPack-2 D:\Архив программ\Acronis\Registr\Keygens\Acronis True Image Home v10.0 and Acronis Snap Deploy v2.0 (english).exe PUA.Packed.UPack-2
сделайте новый комплект логов ....
сделал новый комплект логов
Последний раз редактировалось ks07; 27.01.2008 в 16:54.
Пожалуйста подскажите,меня интересуют также следующие пункты из лога по скрипту №2:
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
>>> Обратите внимание: Порт 12346 TCP - Вирус NetBus () ????
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268 ) ???
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100) ???
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100) ???
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! (Я ИСПОЛЬЗУЮ ПК КАК ДОМАШНИЙ!)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) ???
>> Безопасность: Разрешены терминальные подключения к данному ПК ???
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов ???
Последний раз редактировалось ks07; 12.01.2008 в 02:52.
Уважаемый(ая) ks07, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.