-
Junior Member
- Вес репутации
- 62
Защитник Windows тормознул коня Trojan:Win32/Adclicker
Доброго времени суток, уважаемые! Надо же такому случиться. Вроде и книгу вашу прочитал по безопасности, и рекомендациями пользуюсь, ан нет, зараза, таки, умудряется просочиться. Что в принципе не удивительно учитывая вирусно-интернетный прогресс
Так вот. Защитник Windows тормознул коня Trojan:Win32/Adclicker. Nod32 во время полного сканирования тоже нарыл штук цать следов. CurIT тоже чего-то выкинул из папки system32. Даже AVP Tool зацепил парочку. Вот и решил на всякий послучай снова к вам обратиться. Будьте добры, посмотрите логи пожалуйста.
И ещё вопрос. Что означают кричаще-красные надписи во время выполнения "Стандартного скрипта №3" в AVZ:
Функция NtCreateEvent (23) перехвачена (80603BE0->F76D363F), перехватчик C:\WINDOWS\System32\drivers\474f73a6.sys
Функция NtCreateKey (29) перехвачена (80618E86->F76D1805), перехватчик C:\WINDOWS\System32\drivers\474f73a6.sys
Функция NtOpenKey (77) перехвачена (8061A21C->F76D18B9), перехватчик C:\WINDOWS\System32\drivers\474f73a6.sys
и
\FileSystem\ntfs[IRP_MJ_CREATE] = F76D2A47 -> C:\WINDOWS\System32\drivers\474f73a6.sys
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = F76D3899 -> C:\WINDOWS\System32\drivers\474f73a6.sys
Поясните юродивому, если не сложно
Логи прилогаю.
Последний раз редактировалось nip; 06.05.2010 в 00:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msansspc.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\474f73a6.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\474f73a6.sys');
DeleteFile('msansspc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 62
Карантин оказался пустой. Я видел во время выполнения скрипта были ошибки, но прочитать их не успел. Вроде делал все по правилам: инет, файер антивирь и дефендер отключены, даже резедентные модули выгружены, броузер включен. Может сделать скрипт без авторебута, чтоб прочитать, что за ошибки?
-
-
-
Junior Member
- Вес репутации
- 62
Сори
Вот логи.
Ещё вопрос. Почему AVZ упорно пишет ">> Безопасность: разрешен автозапуск программ с CDROM", если я точно знаю, что австозапуск со всех носителей отключен ??
ЗЫ: Ещё раз заглянул в GP - точно Отключен автозапуск
Последний раз редактировалось nip; 06.05.2010 в 00:29.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('474f73a6');
DeleteFile('C:\WINDOWS\System32\drivers\474f73a6.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('474f73a6');
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
-
-
Junior Member
- Вес репутации
- 62
-
В логах чисто, насчет сетевух, это побочный эффект использования гуарда...
-
-
Junior Member
- Вес репутации
- 62
Спасибо за помощь!!!
Хоть ответов на вопросы и не получил, но всё равно благодарен за содействие!!! Часто заглядываю на ваш ресурс и многим советую.
Тему прошу считать закрытой