-
Junior Member
- Вес репутации
- 59
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
http://virusinfo.info/upload_virus.php?tid=28285- у нас карантин и подозрительные файлы грузят по правилам или вообще никак
Добавлено через 11 минут
Выполнить скрипт @ avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\r_server.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\chtbrkr32.dll','');
QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE','');
QuarantineFile('C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe','');
QuarantineFile('C:\Documents and Settings\1\Рабочий стол\PORTMSYS.SYS','');
QuarantineFile('C:\WINDOWS\system32\Drivers\iqvw32.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\DgiVecp.sys','');
QuarantineFile('C:\WINDOWS\system32\appsec.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Прислать запрошенный карантин- > http://virusinfo.info/upload_virus.php?tid=28285
P.S. virusinfo_syscure.zip не создался из-за вашего оутпоста- они не дружат
Последний раз редактировалось drongo; 18.08.2008 в 10:39.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 59
Хочется сказать что я не хочу просто убить все подозрительное.
про то что у меня есть программы, распознаваемые антивирусниками "Возможно вирус" я знаю. половина утилит от nirsoft.net и systernals парочка считаются подозрительными. но они очень в работе помагают и хочется их оставить.
'c:\windows\system32\r_server.exe'
радмин мне нужен. я знаю что это.
'C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe'
это мне нужно. я знабю что это. скачано с оф сайта.
'c:\windows\system32\drivers\iqvw32.sys' VirusTotal
Код:
NALIntel(R) Network Adapter Diagnostic Driver Intel Corporation
'C:\WINDOWS\system32\Drivers\DgiVecp.sys' VirusTotal
Код:
DgiVecp C:\WINDOWS\system32\Drivers\DgiVecp.sys автоматически Windows 2k,XP IEEE-1284 parallel class driver for ECP, Byte, and Nibble modes 1.1.2.40 Samsung Electronics Co., Ltd. Samsung Electronics Co., Ltd. VECP for Windows 2000, XP
точно? есть смутное подозрение что это драйвера. мне хочется сохранить работоспособность.
'C:\Documents and Settings\1\Рабочий стол\PORTMSYS.SYS'
ок. файла давно нет.
'C:\WINDOWS\system32\appsec.dll'
не нашел вообще упоминаний о нем. нигде ни autoruns от Systernals, ни ServWwin,ShelExView,ShelMenuView,RegDllView от Nirsoft.net.
processmon висит уже час тоже ниодного упоминания.
VirusTotal молчит
'C:\WINDOWS\SYSTEM32\chtbrkr32.dll'
вообще в офисе установлена потдержка универсального шрифта. тоесть библиотекой для китайского то оно может быть (ссылку я выше кинул). но почему 14/36 висуом ее посчитали?
'C:\WINDOWS\system32\CTFMON.EXE'
это что от мелкомягких. давно удалил (не понравилось что висит всегда. не восстанровилось. стало быть было правда "Альтернативный ввод данных"
Добавлено через 8 минут
Сообщение от
drongo
вот тут по моему тупанул и прислал старый файл *8 метровый а не тот что должен был создать этот скрипт (как я полагаю). скрипт закончился с ошибкой: Failed to set data for "DisplayName"
то что было в окне AVZ в приложении.
что то не прикрепляется
сейчас вручную файлы эти достану и вышлю. файл virusinfo.info.zip пароль virusinfo.info
Последний раз редактировалось Deez; 18.08.2008 в 12:01.
Причина: Добавлено
-
Сообщение от
Deez
Хочется сказать что я не хочу просто убить все подозрительное.
А мы еще ничегошеньки не пытались убивать: Выполните скрипт и закачайте карантин - больше от Вас ничего не требуется.
Ну и немного терпения пока ответ из Вирлаба получим.
-
-
лучше не надо:или по правилам или никак.
не мудрите с паролем- пароль ставиться автоматом с AVZ- никто не собирается другой пароль подбирать, иначе ответ будет от лаба - "пароль не подходит "
данный скрипт ничего не меняет в системе- только копирует файлы, и если файлов нет говорит об этом
Последний раз редактировалось drongo; 18.08.2008 в 12:29.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 59
А мы еще ничегошеньки не пытались убивать: Выполните скрипт и закачайте карантин - больше от Вас ничего не требуется.
Ну и немного терпения пока ответ из Вирлаба получим.
вот в этом и пробелма ) он не выполняется ))) Failed to set data for "DisplayName"
Сообщение от
drongo
лучше не надо:или по правилам или никак.
Добавлено через 2 минуты
не мудрите с паролем- пароль ставиться автоматом с AVZ- никто не собирается другой пароль подбирать, иначе ответ будет от лаба - "пароль не подходит
"
как я сказал выше - AVZ завершился с ошибкой. никакого архива не создав. я руками (ну почти руками. bat файлом ) эти файлы собирал, и архивировал. скажите какой должен быть пароль я переархивирую.
-
вероятно из-за outpost такая проблема...
архив только zip
пароль: virus
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
drongo
вероятно из-за outpost такая проблема...
архив только zip
пароль: virus
перед запуском скрипта выгружать все драйвера outpost?
-
Попробуйте выгрузить. Может, даже деинсталлировать его навовсе.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 30
- В ходе лечения обнаружены вредоносные программы:
- \\chtbrkr32.dll - Trojan.Win32.Agent.ajhh
- \\r_server.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.21 (DrWEB: Program.RemoteAdmin)
-