Прошу помочь! Просмотрите пожалуйста логи и дайте рекомендации.
Прошу помочь! Просмотрите пожалуйста логи и дайте рекомендации.
Последний раз редактировалось Vilur; 30.04.2008 в 12:54.
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\1E548B80.EXE',''); QuarantineFile('Pdisvrtqrwag.sys',''); QuarantineFile('C:\WINDOWS\stmtrace.exe',''); QuarantineFile('C:\WINDOWS\system32\winsys2.exe',''); BC_Importall; BC_Activate; RebootWindows(true); end.
Карантин отправлен согласно правил.
В карантине все чисто. Выполните скрипт в AVZ:
Повторите лог HijackThis.Код:begin BC_DeleteSvc('Pdisvrtqrwag'); BC_DeleteSvc('87C6BF00'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
При выполнении скрипта Antivir обнаружил TR/Agent.AFGN.1 в system32
Вот лог HijackThis
Последний раз редактировалось Vilur; 30.04.2008 в 12:53.
выполните скрипт ...
hijackthis.log повторитеКод:begin DeleteService('Pdisvrtqrwag', true); DeleteService('87C6BF00', true); BC_DeleteSvc('Pdisvrtqrwag'); BC_DeleteSvc('87C6BF00'); BC_Activate; RebootWindows(true); end.
При выполнении скрипта Antivir опять обнаружил TR/Agent.AFGN.1 в system32
Вот лог HijackThis
Последний раз редактировалось Vilur; 30.04.2008 в 12:53.
Выполните скрипт в AVZПовторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); StopService('87C6BF00'); StopService('Pdisvrtqrwag'); BC_DeleteSvc('Pdisvrtqrwag'); BC_DeleteSvc('87C6BF00'); BC_Activate; RebootWindows(true); end.
Скрипт выполнен. Логи отправлены.
Последний раз редактировалось Vilur; 30.04.2008 в 12:53.
Странно, но опять все на месте. А не пробовали перед выполнением скрипта антивирус отключать? Ведь так по правилам полагается, вроде бы? Попробуйте последний скрипт без антивируса и сделайте еще раз лог HijackThis.
I am not young enough to know everything...
Однако, AVZ пишит:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0846E0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B6E0
KiST = 80503734 (284)
Функция NtCreateThread (35) перехвачена (805CF804->BAEF5FB4), перехватчик не определен
Функция NtOpenProcess (7A) перехвачена (805C9C46->BAEF5FA0), перехватчик не определен
Функция NtOpenThread (80) перехвачена (805C9ED2->BAEF5FA5), перехватчик не определен
Функция NtTerminateProcess (101) перехвачена (805D1170->BAEF5FAF), перехватчик не определен
Функция NtWriteVirtualMemory (115) перехвачена (805B2D5C->BAEF5FAA), перехватчик не определен
Проверено функций: 284, перехвачено: 5, восстановлено: 0
Вот логи после отключения антивируса.
Последний раз редактировалось Vilur; 30.04.2008 в 12:53.
"Пофиксите" в HijackThisПерезагрузитесь и выполните этот скрипт http://virusinfo.info/showpost.php?p=179699&postcount=8 Потом сделайте повторный лог HijackThis.Код:O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
Выполнено. Вот лог.
Последний раз редактировалось Vilur; 30.04.2008 в 12:53.
Ну вот чудо и свершилось. Сделайте ради интереса лог AVZ, если я прав то неопределенные перехваты должны исчезнуть...
Если чудо свершилось, то наверное не здесь. Перехватчики не выявлены и здравствуют.
Последний раз редактировалось Vilur; 30.04.2008 в 12:53.
Выполните скрипт в AVZ"Пофиксите" в HijackThisКод:begin SetServiceStart('NVSvc', 4); RebootWindows(true); end.Повторите логи.Код:O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
Вот логи...
Последний раз редактировалось Vilur; 30.04.2008 в 12:53.
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\stmctrl.dll',''); BC_Importall; BC_Activate; RebootWindows(true); end.
Карантин отправлен как Вы и просили.
присланный файл чистый .... в логах больше не к чему придраться ...
Уважаемый(ая) Vilur, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.