AVZ не создает логи.

[tch]

Система ВИН98. Неустойчивый инет. не могу порой зайти на mail.ru
На рабочем столе появлялись какие-то экзешники. Убивал не запуская.
hijackthis.log создан
AVZ работает, но в конце работы выдает надпись invalid variant type

создан только virusinfo_cure.zip длиной 22 байта.
Потому привожу выдержки из сообщений, хотя это и не полагается...


1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: LoadLibraryA - 00505A4D<>BFF776D0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: GetDC - 00505A4D<>BFF5249D
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: FreeSid - 00505A4D<>BFE82125
Анализ ws2_32.dll, таблица экспорта найдена в секции .rdata
Анализ wininet.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: InternetOpenA - 00505A4D<>7022A5FB
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: LoadLibraryA - 00505A4D<>BFF776D0
Детектирована модификация IAT: GetProcAddress - 00000002<>BFF76DA8
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: GetDC - 00505A4D<>BFF5249D
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: FreeSid - 00505A4D<>BFE82125
Анализ ws2_32.dll, таблица экспорта найдена в секции .rdata
Анализ wininet.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: InternetOpenA - 00505A4D<>7022A5FB
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 18
Анализатор - изучается процесс 4293090533 C:\WINDOWS\SYSTEM\NVMCTRAY.DLL
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!

[kps]

Обновите базы AVZ и попробуйте снова сделать стандартные логи, как написано в правилах. Если не получится, то сделайте так: Зайдите в AVZ - Файл - Исследование Системы
Нажмите на "Пуск" и сохраните протокол. Полученный протокол прикрепите сюда.

[tch]

С обновленными базами получилось

[wise-wistful]

Вы логи АВЗ делали под администратором?

Добавлено через 2 минуты

В АВЗ сервис--поиск файлов на диске, поищите winstart.bat и пришлите его согласно приложению 2 правил.

[tch]

В администрировании я чайник... под 98-й это возможно?
winstart.bat нашел. там только 2 байта - 0Dh 0Ah

[V_Bond]

В администрировании я чайник...

логи нужно делать под прользователем с правами администратора
у вас такие права есть ?

[tch]

комп мой личный, права наверное есть. на как в 98 й винде этими правами воспользоваться?

[V_Bond]

ссори не посмотрел что 98 ...

[Rene-gad]

В администрировании я чайник... под 98-й это возможно?

Нет .

winstart.bat нашел. там только 2 байта - 0Dh 0Ah

а файл прочитать текстовым эдитором можете?

[tch]

Так текстовым и смотрел, в hex формате
Как я понимаю, там только перевод каретки...

[V_Bond]

C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL - пришлите согласно приложения 3 правил ...

[Rene-gad]

Так текстовым и смотрел, в hex формате

батники пишутся как текстовые файлы т.е. в ASCII - знаках. Если это не так - то это и не батник

[tch]

Отправил. Может снести флешгет сразу?
Насчет батника - 0D 0A - это всего лишь перевод строки... enter , не более.
просто во вьювере пустая строка не видна

[wise-wistful]

Это нормальный батник. Просто, в своё время, был нехороший батник с таким именем и немного другим наполнением.

[tch]

Был был нехороший батник в природе или был у меня? У меня как то при загрузке комп выматерился что какой - файл не является PE приложением или что-то вроде того. Я нашел этот файл, имя состояло из одних цифр, но длина была нулевой, но он был прописан в автозагрузке. Я его удалил, и из загрузки выгрузил. Видимо он самоликвидировался... Вот я и думаю, может с батом подобное?
И сносить мне флешгет?

[V_Bond]

C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL - Adware-FlashGet так что на ваше усмотрение ....
думаю просто стоит поставить версию посвежее ...

[tch]

V_Bond, спасибо. Перейду на другую качалку. Флешгет себя запятнял. А что сделать, чтобы экзешники на рабочий стол не лезли? Было уже 3 штуки. Один с именем из одних цифр, один с бессмысленным названием и один кажется назывался admin*.exe (это на 98-й винде )... Я эту дрянь мочу на месте, но жена может по незнанию кликнуть...

[V_Bond]

переходите на более защищенню ось например XP ....

[tch]

Значит, с этим ничего не сделать? Жаль. Но и ХР не панацея. У дочери подобный экзешник и под хрюном всплыл... Я думал что 98 более защищена... По крайней мере под нее заразу уже не пишут, и под досом я с системой могу успешно побороться

[V_Bond]

.. Я думал что 98 более защищена...

у вас локальная сеть есть ?