-
Junior Member
- Вес репутации
- 56
AVZ находит два перехватчика
Здравствуйте!
AVZ находит два перехватчика (C:\WINDOWS\System32\vsdatant.sys и непонятный файл sphx.sys) оба по описанию являются "перехватчиками KernelMode", с типом "подозрение на RootKit", затем для удаления их предлагает сделать перезагрузку, но потом снова их находит, из-за этого (может и не из-за этого) постоянно падает интернет. К сведению, я так же пользуюсь ZoneAlarm'ом.
Заранее спасибо, с уважением Григорий.
Последний раз редактировалось truffesforeg; 20.01.2010 в 19:30.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DeleteService('sysdrv32');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
DeleteService('WindowsTelephony');
QuarantineFile('C:\WINDOWS\system\svhost.exe','');
DeleteFile('C:\WINDOWS\system\svhost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('C:\Documents and Settings\BobMarley\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('sysdrv32');
BC_DeleteSvc('WindowsTelephony');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 56
Выполнил. Еще хотел добавить, что также был дважды случай того, что в программе "QIP" само отправилось сообщение, состоящее из непрерывного повторения без пробелов набора букв: "еуые".
Последний раз редактировалось truffesforeg; 20.01.2010 в 19:30.
-
"еуые" = "test" в русской раскладке. Это пишет AVZ при поиске клавиатурных перехватчиков.
-
-
Junior Member
- Вес репутации
- 56
Когда я выполнил протокол, я имел ввиду, что он так же находит тех самых "перехватчиков"
-
В логах чисто, установите SP3+all updates...
-
-
Junior Member
- Вес репутации
- 56
Хорошо, я попробую... Но вот AVZ, при при обычной проверке (просто выбрал папку System32 и нажал пуск) он находит, именно тех самых перехватчиков, по крайней мере, так написано, когда после проверки нажимаешь протокол. C:\WINDOWS\System32\vsdatant.sys и непонятный файл sphx.sys (при чем написание этого файла, я заметил, немного варьируется) сейчас он пишет spbv.sys...
-
C:\WINDOWS\System32\vsdatant.sys - это ZoneAlarm.
sp**.sys - это эмулятор дисков.
-