AVZ показывает процессы без имени т.е. 0 символов
Трабла вот в чём установил я драйвер AVZPM (для расширенного мониторинга процессов) и обноружил запущены процессы без имени процессов более 100 вынести их немогу даже после включения AVZGuard мне кажеться что они появились после установки SP 2 хотя может они и до этого были. Система Win 2k3 server.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Проверял систему удалённо проверял с лайв Cd антивири ничего не находят
Логи преслать не могу
Последний раз редактировалось DemON.!.; 12.03.2008 в 13:12.
Логи нужны.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Скоро соберу логи выложу
Вот логи АВЗ
ЛЮДИ помогите плиз просто я уже незнаю куда обратится
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\powermgmt.sys',''); QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe',''); QuarantineFile('winrnt32.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\winrnt32.dll',''); QuarantineFile('C:\huadio.tmp',''); QuarantineFile('G:\INSTALL\GMSIPCI.SYS',''); DeleteFile('C:\WINDOWS\system32\powermgmt.sys'); BC_ImportALL; ExecuteSysClean; BC_QrSvc('autorun'); BC_QrSvc('AdvPowerMgmt'); BC_DeleteSvc('AdvPowerMgmt'); BC_Activate; RebootWindows(true); end.
Пришлите карантин, как написано в правилах (загружать по этой ссылке: http://virusinfo.info/upload_virus.php?tid=19638 )
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
А можно без ребута а то для меня это жизнненоважно что бы сервак пока не перегружался
С перезагрузкой гораздо лучше, но если совсем нельзя перезагружать, то можете попробовать выполнить такой скрипт в AVZ:
Компьютер не будет перезагружатся.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\powermgmt.sys',''); QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\system32\smss.exe',''); QuarantineFile('winrnt32.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\winrnt32.dll',''); QuarantineFile('C:\huadio.tmp',''); QuarantineFile('G:\INSTALL\GMSIPCI.SYS',''); DeleteFile('C:\WINDOWS\system32\powermgmt.sys'); BC_ImportALL; ExecuteSysClean; BC_QrSvc('autorun'); BC_QrSvc('AdvPowerMgmt'); BC_DeleteSvc('AdvPowerMgmt'); BC_Execute; SetAVZGuardStatus(False); end.
Пришлите карантин, как написано в правилах (загружать по этой ссылке: http://virusinfo.info/upload_virus.php?tid=19638 )
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Пока я собирал логи AVZ повисла пришлось ребутаться теперь по новой собираю логи
Вот новые логи
powermgmt.sys - Trojan.Win32.Agent.hej
Если Вы не против, чтобы компьютер перезагрузился (очень желательно его перезагрузить), то выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('winrnt32.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\winrnt32.dll',''); DeleteFile('C:\WINDOWS\system32\powermgmt.sys'); DeleteFile('winrnt32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\winrnt32.dll'); BC_ImportALL; DelWinlogonNotifyByFileName('winrnt32.dll'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winrnt32'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Если Вы ни в коем случае не хотите его перезагружать (не рекомендуется), то можете тогда выполнить следующий скрипт в AVZ:
Пришлите карантин, как написано в правилах (загружать по этой ссылке: http://virusinfo.info/upload_virus.php?tid=19638 )Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('winrnt32.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\winrnt32.dll',''); DeleteFile('C:\WINDOWS\system32\powermgmt.sys'); DeleteFile('winrnt32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\winrnt32.dll'); BC_ImportALL; DelWinlogonNotifyByFileName('winrnt32.dll'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winrnt32'); ExecuteSysClean; BC_Execute; SetAVZGuardStatus(False); end.
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Значит так выполнил с перезагрузкой при загрузке нашлось неопознаное устройство я отменил установку драйверов на него. Шлю новые логи
Больше никакой гадости в логах не вижу.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
а как же процессы без имени
Добавлено через 3 минуты
AVZ отмечает их красным и пишет "FU or KernelMode Rootkit"
Последний раз редактировалось DemON.!.; 13.03.2008 в 12:07. Причина: Добавлено
Возможно, это глюк AVZ на сервере 2003. Спросите об этом здесь: http://virusinfo.info/showthread.php?t=17087&page=20 и укажите ссылку на эту тему. Возможно, Олег Вам ответит по этому поводу.Сообщение от DemON.!.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Большое спасибо за помощ
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\powermgmt.sys - Trojan.Win32.Agent.hej (DrWEB: Trojan.Spambot.2936)
Уважаемый(ая) DemON.!., наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
