-
Junior Member
- Вес репутации
- 60
Маскируется процесс Parport.sys
После посещения сайта одной солидной фирмы (NOD32 обнаружил атаку но до конца не справился) стал появляться в
(дальше почему-то оборвалось. Блин, писал писал...)
В общем, обнаружился вирус в \SystemRoot\System32\Drivers\Parport.SYS
Вирус был удалён утилитой Virus Removal Tool (с вашего сайта), но AVZ продолжает определять маскировку процесса \SystemRoot\System32\Drivers\Parport.SYS
Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:57.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinCtrl32.dll','');
DeleteService('Winsb08');
DeleteService('Winhq65');
DeleteService('Winem21');
DeleteService('Winck10');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsb08.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhq65.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winem21.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winck10.sys','');
DeleteService('vmi386');
QuarantineFile('C:\WINDOWS\System32\drivers\vmi386.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\vmi386.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winck10.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winem21.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhq65.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsb08.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 60
Выполнил скрипт.
Снова собрал данные:
Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:57.
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\vdqwndq1.sys','');
DeleteFile('\??\C:\WINDOWS\system32\Drivers\vdqwndq1.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 60
Выполнил скрипт. Нового карантина не образовалось...
Вот новые логи:
Последний раз редактировалось Andrey Golubev; 14.11.2008 в 15:57.
-
-
-
Junior Member
- Вес репутации
- 60
А как же это?
>> Маскировка драйвера: Base=A9C9D000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS"
>> Маскировка драйвера: Base=F89AC000, размер=32768, имя = "\??\C:\WINDOWS\system32\Drivers\vdqwndq1.sys"
Это так и не исчезло...
-
А что это? Я думаю 1 это драйвер микрософт для управления портами, а второе это драйвер AVZ...
-
-
Junior Member
- Вес репутации
- 60
Я понимаю, но зачем они маскируются. Раньше ведь, они не маскировались?
-
AVZ часто засекает маскировку Parport.SYS...
-