-
Junior Member
- Вес репутации
- 58
Подозрение на троян и руткит.
Будте добры проанализируйте мои логи.Серьезных проблем нет , но есть подозрение что какая-то "живность" есть , сами по себе изменяются настройки проводника , отображение папок , кроме того не понятный входящий трафик.Сделал все как написано в правилах.Еще проблема AVZ определяет что восстановление системы включено , хотя оно выключеноВложение 63828Вложение 63829 даже службу эту отключилВложение 63830
Вот логи
Последний раз редактировалось Оптим; 05.08.2008 в 22:53.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
авз запускать от имени администратора ....
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\Drivers\Wdfmgsknrtcq.sys','');
DeleteService('Wdfmgsknrtcq');
DeleteFile('C:\Windows\system32\Drivers\Wdfmgsknrtcq.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
-
-
Junior Member
- Вес репутации
- 58
Запстил AVZ от имени администратора (как и в прошлый раз) , выполнил скрипт ,
логи
Карантин отправил.
Мучает вопрос есть троян или руткит ?
Последний раз редактировалось Оптим; 05.08.2008 в 22:53.
-
запускали правой кнопкой мыши - запуск от имени ?
-
-
Junior Member
- Вес репутации
- 58
Да запускал правой кнопкой от имени администратора.
С помощью AVZ убрал автозапуск CD, DVD теперь любой диск не могу открыть вообще , видит как чистый, если только перезагрузиться не вынимая диск тогда можно открыть , как это исправить ?
Еще проблема после выполнения скрипта система при выключении долго выгружается и при включении долго загружается.
-
Сообщение от
Оптим
С помощью AVZ убрал автозапуск CD, DVD теперь любой диск не могу открыть вообще , видит как чистый, если только перезагрузиться не вынимая диск тогда можно открыть , как это исправить ?
причем автозапуск к отображению диска ? т.е вы за пускаете проводник два раза кликаете по букве CD и ничего не отображается ?
Сообщение от
Оптим
Еще проблема после выполнения скрипта система при выключении долго выгружается и при включении долго загружается.
не может быть , что из-за скрипта ...
скачайте C:\WINDOWS\System32\Drivers\Wdfmgsknrtcq.sys - force delete
затем выполните скрипт ... повторите логи ...
-
-
Junior Member
- Вес репутации
- 58
До этого при вставке диска отображалось предложение с помощью чего можно открыть содержимое диска , сейчас ни чего не отображается - открываю проводник , кликаю 2 раза на обозначение привода и появляется вот такая картина :
Вложение 65319.
Скачал Spyware Doctor , проверил систему -обнаружено троян в реестре и шпион в папке ссылок избранное - нейтрализовал.
Поясните запись :"C:\WINDOWS\System32\Drivers\Wdfmgsknrtcq.sys - force delete" , что это значит ?
Последний раз редактировалось Оптим; 05.08.2008 в 22:53.
-
троян в реестре - это дааааа ....
Wdfmgsknrtcq.sys - нужно удалить ... так http://virusinfo.info/showthread.php?t=17228
насчет диска ....
пуск - панель управления - система - оборудование и звук - автозапуск - и установить нужное ...
-
-
Junior Member
- Вес репутации
- 58
Не могу запустить IceSword.exe появляется сообщение :Вложение 65536 запускал от имени админа и в совместимости с ХР не помогает.
Пытался вручную найти файл Wdfmgsknrtcq.sys отсутствует.
По поводу диска: автозапуск включен :Вложение 65537, но это не помогает.
Последний раз редактировалось Оптим; 05.08.2008 в 22:53.
-
если не работает IceSword нужен загрузочный диск и удалять из по него ...
насчет настроек вам нужно изменить настройки чистый сд , чистый двд ...
-
-
Junior Member
- Вес репутации
- 58
Имеется в ввиду загрузочный диск с системой?
В смысле изменить настройки чистый диск я ставлю диск с записью , может AVZ удалил файлы autorun.inf отвечающие за запуск сменных носителей , кстати с флешки автозапуск работает:Вложение 65545
Последний раз редактировалось Оптим; 05.08.2008 в 22:53.
-
Сообщение от
Оптим
Имеется в ввиду загрузочный диск с системой?
В смысле изменить настройки чистый диск я ставлю диск с записью , может AVZ удалил файлы autorun.inf отвечающие за запуск сменных носителей , кстати с флешки автозапуск работает:
Вложение 65545
никаких autorun.inf в системе нет и быть не может .... такие файлы бывают в различных дистрбутивах , для автозапуска .... и все ..
-
-
Junior Member
- Вес репутации
- 58
Файл Wdfmgsknrtcq.sys в папке C:\WINDOWS\System32\Drivers отсутствует.
Выполнил скрипт.
Вот логи:
Вложение 65560
Вложение 65561
Вложение 65562
Последний раз редактировалось Оптим; 12.08.2008 в 22:45.
-
Сообщение от
Оптим
Файл Wdfmgsknrtcq.sys в папке C:\WINDOWS\System32\Drivers отсутствует.
как искали ?
-
-
Junior Member
- Вес репутации
- 58
Искал вручную в системе при включенном отображении скрытых папок и файлов ,пробовал вбивать в поиск и с загрузочного диска с помощью программы Acronis Disc Director открывал содержимое данной папки , просматривал ,такого файла нет.
Вложение 65624
Последний раз редактировалось Оптим; 12.08.2008 в 22:45.
-
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Wdfmgsknrtcq');
DeleteFile('C:\Windows\system32\Drivers\Wdfmgsknrtcq.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Оптим; 12.08.2008 в 22:45.
-
-
-
Junior Member
- Вес репутации
- 58
Спасибо огромное за помощь.
Скажите руткит всетаки был ?
В протоколе AVZ написано о маскировке каких-то процессов, что это такое?
AVZ также указал, что возможен анонимный доступ к ПК из вне ,как это исправить?
-
если у вас нет расшаренных ресурсов то анонимный доступ можно закрыть так
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RebootWindows(true);
end.
маскировка процессов - это особенности работы авз на виста ...
-