Доброго всем дня!
Помогите пожалуйста разобраться с проблемой описанной уже сдесь
http://virusinfo.info/showthread.php?t=21518
+ куча перехватчиков
логи прилагаю
Доброго всем дня!
Помогите пожалуйста разобраться с проблемой описанной уже сдесь
http://virusinfo.info/showthread.php?t=21518
+ куча перехватчиков
логи прилагаю
Последний раз редактировалось shuttle; 15.04.2008 в 16:46.
virusinfo_cure.zip нельзя прикреплять к теме,где virusinfo_syscure.zip ? прочитайте правила ещё раз.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Пофиксить
Выплонить скриптO4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 - HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe
После перезагрузки закачать по правилам карантин и повторить логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\kavo.exe',''); QuarantineFile('C:\WINDOWS\system32\tavo.exe',''); QuarantineFile('K:\30ed3.exe',''); QuarantineFile('K:\autorun.inf',''); QuarantineFile('C:\30ed3.exe',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\tavo0.dll',''); QuarantineFile('C:\WINDOWS\system32\kavo1.dll',''); DeleteFile('C:\WINDOWS\system32\kavo1.dll'); DeleteFile('C:\WINDOWS\system32\tavo0.dll'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\30ed3.exe'); DeleteFile('K:\autorun.inf'); DeleteFile('K:\30ed3.exe'); DeleteFile('C:\WINDOWS\system32\tavo.exe'); DeleteFile('C:\WINDOWS\system32\kavo.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end.
что такое диск К ? Если это какой-то съёмный диск ( флешка и тд) то подключить его к компьютеру перед исполнением скрипта.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
уважаемый drongo, извините пожалуйста, сильно торопился и перепутал архивы.
впредь этого не повторится
Rene-gad спасибо
Ловлю на слове
Так что там с К- это кто?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
скрипт прогнал, скрытые файлы появились, перехватчики остались пока.
логи позже, еще сканю
тут такая трабла, я сдури удалил карантин перед вторым сканированием (после отработки скрипта)
логи есть
Пришлите по правилам C:\WINDOWS\system32\winlogon.exe
I am not young enough to know everything...
извините если я делаю что-то не так, я первый день на этом форуме
для начала правила http://virusinfo.info/showthread.php?t=1235 - там все написано , как , что и куда ... но нужно сделать усилие и дочитать ... ( файлик из сообщения нужно убрать ) ...
@shuttle
Два нарушения уже есть
За третье будем выгонять с поля.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
к стати приатаченный файл чистый ....
V_Bond
PavelA
будьте снисходительны к новичку, как известно: первый блин всегда (дальше думаю знаете)
Господа хелперы, что по моему вопросу?
неверный пост удалил уже.
C:\TORRENT.KG\Eset Nod32 3.0.566\ESET_NOD32_Antivirus_v3[1].0.566_RUS.rar - просто удалите - злодей в архиве ..
больше зловредного ничего нет ...
у вас криптопро был установлен ?
"криптопро" не знаком с таким термином
если не трудно объясните.
злодея удавил уже ручками
а вот десяток перехватчиков остались
как быть?
Добавлено через 3 минуты
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867661F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 867661F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 85D541F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 85D541F8 -> перехватчик не определен
вот такие моменты к примеру
Последний раз редактировалось shuttle; 15.04.2008 в 20:13. Причина: Добавлено
перехваты у вас не вредные ... от Daemon tools удалите и они исчезнут ...
если криптопро вам ни о чем не говорит .... странно это кто -то видимо устанавливал ...
Уважаемый(ая) shuttle, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.