-
Junior Member
- Вес репутации
- 60
Не могу запустить AVZ и CureIt
Не могу запустить AVZ и CureIt при запуске AVZ пишет
Запрос ReadProcessMemory или WriteProcessMemory был выполнен только частично
AVG AntiSpyWare определяет
C:\WINDOWS\system32\24ff35e.exe -> Not-A-Virus.SpamTool.Win32.Agent.ej
файлы 24ff35e.exe изменяется только имя повторяется 200 раз
symantec тихо сдался на милость врагу одна надежда на virusinfo
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 60
протестировал, логи посылаю
Последний раз редактировалось MikelPa; 28.01.2008 в 18:23.
-
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\admini~1\locals~1\temp\winlxrn.exe','');
QuarantineFile('c:\windows\system32\1d7dc.exe','');
DeleteFile('c:\windows\system32\1d7dc.exe');
DeleteFile('c:\docume~1\admini~1\locals~1\temp\winlxrn.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложеия 3 правил ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 60
Карантин залил, CureIt запустить так и не смог
-
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось MikelPa; 31.01.2008 в 11:31.
-
отключите антивирус ... деинсталируйте антиспай ...
пофиксите ...
Код:
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [IpSec] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wineuje.exe
выполните скрипт ...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\z9P563xv.sys','');
QuarantineFile('C:\WINDOWS\system32\sr763291.dll','');
QuarantineFile('c:\docume~1\admini~1\locals~1\temp\wineuje.exe','');
DeleteFile('c:\docume~1\admini~1\locals~1\temp\wineuje.exe');
DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\z9P563xv.sys');
DeleteFile('C:\WINDOWS\system32\sr763291.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось MikelPa; 31.01.2008 в 11:31.
-
c:\docume~1\admini~1\locals~1\temp\wineuje.exe Trojan-Downloader.Win32.Small.hyi
C:\WINDOWS\system32\svchost.exe - попробуйте скопировать в карантин авз ( сервис- поиск файлов на диске) если скопируется пришлите по правилам .
-
-
Пришлите по правилам файл C:\WINDOWS\system32\DRIVERS\tcpip.sys
что-то уж больно свежая у него дата...
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
C:\WINDOWS\system32\svchost.exe не копируется в карантин
Добавлено через 8 минут
C:\WINDOWS\system32\DRIVERS\tcpip.sys выслал
Добавлено через 1 минуту
C:\WINDOWS\system32\svchost.exe по правилам тоже лезть в карантин не хочет
Последний раз редактировалось MikelPa; 28.01.2008 в 16:53.
Причина: Добавлено
-
svchost.exe не копируется -это хорошо .... значит прошет по базе безопасных ...
tcpip.sys - чистый ...
-
-
Junior Member
- Вес репутации
- 60
Что делать дальше
при перезагрузке все равно пытается зарегистрироваться какоето оборудование
-
в диспетчере устройств есть знаки вопроса ?
-
-
Junior Member
- Вес репутации
- 60
-
на чем стоят знаки вопроса ?
-
-
Junior Member
- Вес репутации
- 60
нашел в regedite пишет активный сервис use4odkw
Добавлено через 58 секунд
Сообщение от
V_Bond
на чем стоят знаки вопроса ?
неизвестное устройство
Последний раз редактировалось MikelPa; 28.01.2008 в 17:26.
Причина: Добавлено
-
сделайте принтскрин диспетчера устройств ...
-
-
Junior Member
- Вес репутации
- 60
в avz в сервисах по анализу реестра есть строка MCIDRV_2600_6_0 ссылается на файл c:\windows\system32\drivers\qinolm.sys