Выполните скрипт в AVZ
Код:
begin
SysCleanAddFile('RGWIE.dll');
ExecuteSysClean;
RebootWindows(true);
end.
Удалите Ad-Aware.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите лог virusinfo_syscheck.zip.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
aawservice.sys - попробуйте найти при помощи авз - сервис - поиск файлов на диске ... если найдется пришлите по правилам ...
Junior Member
Вес репутации
60
скрипт выполнил
проблемы пофиксил
AdAware был удален ранее
aawservice.sys через avz не находится
в реестре нашел: HCLM/System/Current Control Set/Enum/Root/Legacy_AAWESERVICE не удаляется
Вложения
выполните скрипт ...
Код:
begin
BC_DeleteSvc('aawservice');
BC_Activate;
RebootWindows(true);
end.
После скрипта сделайте повторный лог.
Junior Member
Вес репутации
60
Вложения
Угу. Всё чисто. У меня личный вопрос к Вам. Вы не знаете от какой программы RGWIE.dll ?
Junior Member
Вес репутации
60
не знаю...
в автозапуске какая-то хрень autocheck autochk *autocheck lsdeleteautocheck autocheck ?5?? ничего?
Вы об этом?
Код:
autocheck autochk *�autocheck lsdelete�autocheck autocheck ?5??
Junior Member
Вес репутации
60
Junior Member
Вес репутации
60
Ребята, еще раз привет!
У меня кажется рецидив...
В процессах опять появился iexplore.exe (IE не запущен).
Вложения
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\abc32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
60
скрипт выполнил
карантин отправил
Вложения
В логах всё нормально.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов . Мы будем Вам очень благодарны!
Удачи!
Junior Member
Вес репутации
60
В очередной раз прочесывал систему AVZ, выдало следующее:
Функция NtClose (19) перехвачена (805675D9->F8CC31E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtConnectPort (1F) перехвачена (80598C34->F8CC12F0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateKey (29) перехвачена (8056F063->F8CB4750), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateProcess (2F) перехвачена (805B3543->F8CC2F10), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateProcessEx (30) перехвачена (805885D3->F8CC3080), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateSection (32) перехвачена (80564B1B->F8CC3D00), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateSymbolicLinkObject (34) перехвачена (805A27B0->F8CC37B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateThread (35) перехвачена (8057F262->F8CC4600), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtDeleteKey (3F) перехвачена (8059D6BD->F8CB4860), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtDeleteValueKey (41) перехвачена (80597430->F8CB48E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtDuplicateObject (44) перехвачена (805743BE->F8CC3380), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtEnumerateKey (47) перехвачена (8056F76A->F8CB4990), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtEnumerateValueKey (49) перехвачена (805801FE->F8CB4A40), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtFlushKey (4F) перехвачена (80594925->F8CB4AF0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtInitializeRegistry (5C) перехвачена (805A5A4D->F8CB4B70), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadDriver (61) перехвачена (805A6B26->F8CC0E50), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadKey (62) перехвачена (805B0F28->F8CB5590), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadKey2 (63) перехвачена (805B0D76->F8CB4B90), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtNotifyChangeKey (6F) перехвачена (805829DD->F8CB4C70), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenFile (74) перехвачена (805715E7->FC2C9000), перехватчик C:\WINDOWS\system32\Drivers\kl1.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (805684D5->F8CB4D50), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenProcess (7A) перехвачена (8057459E->F8CC2D00), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenSection (7D) перехвачена (805766CC->F8CC3B20), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryKey (A0) перехвачена (8056F473->F8CB4E30), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryMultipleValueKey (A1) перехвачена (8064CF58->F8CB4EE0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQuerySystemInformation (AD) перехвачена (8057CC27->F8CC42B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryValueKey (B1) перехвачена (8056B9A8->F8CB4F90), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtReplaceKey (C1) перехвачена (8064D892->F8CB5070), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtRequestWaitReplyPort (C перехвачена (8057860F->F8CC1900), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtRestoreKey (CC) перехвачена (8064C3B0->F8CB5100), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtResumeThread (CE) перехвачена (8057F8D5->F8CC45B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSaveKey (CF) перехвачена (8064C457->F8CB5300), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetContextThread (D5) перехвачена (8062C85B->F8CC4940), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetInformationFile (E0) перехвачена (80579E7E->F8CC4F60), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetInformationKey (E2) перехвачена (8064CABB->F8CB5390), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetSecurityObject (ED) перехвачена (8059DB78->F8CBFA10), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetSystemInformation (F0) перехвачена (805A5110->F8CC39A0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSetValueKey (F7) перехвачена (80575527->F8CB5430), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSuspendThread (FE) перехвачена (805DC61B->F8CC4560), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtSystemDebugControl (FF) перехвачена (8064872D->F8CC11B0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtTerminateProcess (101) перехвачена (8058AE1E->F8CC4150), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtUnloadKey (107) перехвачена (8064C689->F8CB5550), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtWriteVirtualMemory (115) перехвачена (8057C123->F8CC3240), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция FsRtlCheckLockForReadAccess (804FDAF1) - модификация машинного кода. Метод JmpTo. jmp F8CC5380 \??\C:\WINDOWS\system32\drivers\klif.sys
Функция IoIsOperationSynchronous (804E8EBA) - модификация машинного кода. Метод JmpTo. jmp F8CC5880 \??\C:\WINDOWS\system32\drivers\klif.sys
Что это за перехватчик и не опасно ли это?
это перехваты от касперского ...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 4 Обработано файлов: 23 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\all users\\документы\\settings\\abc32.dll - Trojan.Win32.Inject.sm (DrWEB: BackDoor.Bifrost.526) c:\\windows\\system32\\necsort.sys - Trojan-Banker.Win32.Banker.hkq (DrWEB: Trojan.PWS.Banker.9575) c:\\windows\\system32\\rgwie.dll - Trojan.Win32.BHO.gbm c:\\windows\\system32\\vhosts.exe - Trojan-Downloader.Win32.Small.hrm (DrWEB: BackDoor.Dax)