Показано с 1 по 15 из 15.

Заражена ли система (заявка № 43491)

  1. #1
    Junior Member Репутация
    Регистрация
    07.04.2009
    Сообщений
    7
    Вес репутации
    55

    Thumbs up Заражена ли система

    Здравствуйте.
    Скачал архив с программой и мой антивирус никак на нее не среагировал. Установил, программа работала нормально. Знакомый скачал этот же архив и Касперский у него выдал диагноз - Trojan-PSW.Win32.Agent.mcx Опасаюсь, не заражена ли теперь у меня система. Логи прилагаются.
    В логах насторожил вот этот момент

    Восстановление системы: Отключено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[100525C2]
    >>> Код руткита в функции CreateProcessA нейтрализован
    Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1005259A]
    >>> Код руткита в функции CreateProcessW нейтрализован
    Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1005290E]
    >>> Код руткита в функции CreateRemoteThread нейтрализован
    Функция kernel32.dllebugActiveProcess (117) перехвачена, метод APICodeHijack.JmpTo[100528E6]
    >>> Код руткита в функции DebugActiveProcess нейтрализован
    Функция kernel32.dlloadLibraryExA (579) перехвачена, метод APICodeHijack.JmpTo[100524AA]
    >>> Код руткита в функции LoadLibraryExA нейтрализован
    Функция kernel32.dlloadLibraryExW (580) перехвачена, метод APICodeHijack.JmpTo[10052482]
    >>> Код руткита в функции LoadLibraryExW нейтрализован
    Функция kernel32.dll:WinExec (896) перехвачена, метод APICodeHijack.JmpTo[10052572]
    >>> Код руткита в функции WinExec нейтрализован
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dlldrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[100528BE]
    >>> Код руткита в функции LdrLoadDll нейтрализован
    Функция ntdll.dlldrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[10052896]
    >>> Код руткита в функции LdrUnloadDll нейтрализован
    Функция ntdll.dll:NtConnectPort (117) перехвачена, метод APICodeHijack.JmpTo[10052612]
    >>> Код руткита в функции NtConnectPort нейтрализован
    Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[100526B2]
    >>> Код руткита в функции NtCreateThread нейтрализован
    Функция ntdll.dll:NtProtectVirtualMemory (226) перехвачена, метод APICodeHijack.JmpTo[10052702]
    >>> Код руткита в функции NtProtectVirtualMemory нейтрализован
    Функция ntdll.dll:NtSecureConnectPort (301) перехвачена, метод APICodeHijack.JmpTo[100525EA]
    >>> Код руткита в функции NtSecureConnectPort нейтрализован
    Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[100526DA]
    >>> Код руткита в функции NtSetContextThread нейтрализован
    Функция ntdll.dll:NtSetValueKey (33 перехвачена, метод APICodeHijack.JmpTo[1005286E]
    >>> Код руткита в функции NtSetValueKey нейтрализован
    Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[100527CA]
    >>> Код руткита в функции NtSuspendProcess нейтрализован
    Функция ntdll.dll:NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[100527A2]
    >>> Код руткита в функции NtSuspendThread нейтрализован
    Функция ntdll.dll:NtTerminateProcess (34 перехвачена, метод APICodeHijack.JmpTo[1005281A]
    >>> Код руткита в функции NtTerminateProcess нейтрализован
    Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[10052846]
    >>> Код руткита в функции NtWriteVirtualMemory нейтрализован
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[10052CCE]
    >>> Код руткита в функции CallNextHookEx нейтрализован
    Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[10052432]
    >>> Код руткита в функции ChangeDisplaySettingsExA нейтрализован
    Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1005240A]
    >>> Код руткита в функции ChangeDisplaySettingsExW нейтрализован
    Функция user32.dlldeConnect (10 перехвачена, метод APICodeHijack.JmpTo[10052CA6]
    >>> Код руткита в функции DdeConnect нейтрализован
    Функция user32.dlldeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[10052C7E]
    >>> Код руткита в функции DdeConnectList нейтрализован
    Функция user32.dlldeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[10052C56]
    >>> Код руткита в функции DdeInitializeA нейтрализован
    Функция user32.dlldeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[10052C2E]
    >>> Код руткита в функции DdeInitializeW нейтрализован
    Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1005295E]
    >>> Код руткита в функции EndTask нейтрализован
    Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[100529FE]
    >>> Код руткита в функции ExitWindowsEx нейтрализован
    Функция user32.dll:FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[10052A76]
    >>> Код руткита в функции FindWindowExA нейтрализован
    Функция user32.dll:FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[10052A4E]
    >>> Код руткита в функции FindWindowExW нейтрализован
    Функция user32.dllostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[10052B66]
    >>> Код руткита в функции PostMessageA нейтрализован
    Функция user32.dllostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[10052B3E]
    >>> Код руткита в функции PostMessageW нейтрализован
    Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[10052A26]
    >>> Код руткита в функции SendInput нейтрализован
    Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[10052C06]
    >>> Код руткита в функции SendMessageA нейтрализован
    Функция user32.dll:SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[10052AC6]
    >>> Код руткита в функции SendMessageCallbackA нейтрализован
    Функция user32.dll:SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[10052A9E]
    >>> Код руткита в функции SendMessageCallbackW нейтрализован
    Функция user32.dll:SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[10052B16]
    >>> Код руткита в функции SendMessageTimeoutA нейтрализован
    Функция user32.dll:SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[10052AEE]
    >>> Код руткита в функции SendMessageTimeoutW нейтрализован
    Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[10052BDE]
    >>> Код руткита в функции SendMessageW нейтрализован
    Функция user32.dll:SendNotifyMessageA (57 перехвачена, метод APICodeHijack.JmpTo[10052BB6]
    >>> Код руткита в функции SendNotifyMessageA нейтрализован
    Функция user32.dll:SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[10052B8E]
    >>> Код руткита в функции SendNotifyMessageW нейтрализован
    Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[100529D6]
    >>> Код руткита в функции SetForegroundWindow нейтрализован
    Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[10052936]
    >>> Код руткита в функции SetWinEventHook нейтрализован
    Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[10052986]
    >>> Код руткита в функции SetWindowPos нейтрализован
    Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[10052D1E]
    >>> Код руткита в функции SetWindowsHookExA нейтрализован
    Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[10052CF6]
    >>> Код руткита в функции SetWindowsHookExW нейтрализован
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    Ошибка в работе антируткита [Range check error], шаг [11]
    Вложения Вложения
    Последний раз редактировалось Bratez; 09.04.2009 в 03:38. Причина: убрал лишнее вложение

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Важно: Выполняя скрипты и делая логи, необходимо отключать Аутпост,
    ошибка антируткита возникает из-за него!

    1. Отключите восстановление системы!
    2. Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O20 - Winlogon Notify: ёИ - ёИ (file missing)
    O20 - Winlogon Notify: X - X (file missing)
    3. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32:lzx32.sys','');
     DeleteFile('C:\WINDOWS\system32:lzx32.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('lzx32');
    BC_Activate;
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    4. Пришлите карантин согласно приложению 3 правил, если будет не пуст
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=43491).

    5. Сделайте новые логи.
    Файл virusinfo_cure.zip прикреплять не надо, должен быть virusinfo_syscure.zip.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    07.04.2009
    Сообщений
    7
    Вес репутации
    55
    Поясните, пожалуйста, что значит "Пофиксите в HijackThis:"
    R3 - URLSearchHook: (no name) - - (no file)
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O20 - Winlogon Notify: ёИ - ёИ (file missing)
    O20 - Winlogon Notify: X - X (file missing)

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    07.04.2009
    Сообщений
    7
    Вес репутации
    55
    3. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32:lzx32.sys','') ;
    DeleteFile('C:\WINDOWS\system32:lzx32.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('lzx32');
    BC_Activate;
    SetAVZPMStatus(true);
    RebootWindows(true);
    end.

    После выполнения этого скрипта, перезагрузки не происходит, а выдается сообщение Failed to set data for "DisplayName"

    А вот это отображается в окне Протокола AVZ во время выполнения скрипта
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[100525C2]
    >>> Код руткита в функции CreateProcessA нейтрализован
    Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[1005259A]
    >>> Код руткита в функции CreateProcessW нейтрализован
    Функция kernel32.dll:CreateRemoteThread (104) перехвачена, метод APICodeHijack.JmpTo[1005290E]
    >>> Код руткита в функции CreateRemoteThread нейтрализован
    Функция kernel32.dllebugActiveProcess (117) перехвачена, метод APICodeHijack.JmpTo[100528E6]
    >>> Код руткита в функции DebugActiveProcess нейтрализован
    Функция kernel32.dlloadLibraryExA (579) перехвачена, метод APICodeHijack.JmpTo[100524AA]
    >>> Код руткита в функции LoadLibraryExA нейтрализован
    Функция kernel32.dlloadLibraryExW (580) перехвачена, метод APICodeHijack.JmpTo[10052482]
    >>> Код руткита в функции LoadLibraryExW нейтрализован
    Функция kernel32.dll:WinExec (896) перехвачена, метод APICodeHijack.JmpTo[10052572]
    >>> Код руткита в функции WinExec нейтрализован
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dlldrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[100528BE]
    >>> Код руткита в функции LdrLoadDll нейтрализован
    Функция ntdll.dlldrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[10052896]
    >>> Код руткита в функции LdrUnloadDll нейтрализован
    Функция ntdll.dll:NtConnectPort (117) перехвачена, метод APICodeHijack.JmpTo[10052612]
    >>> Код руткита в функции NtConnectPort нейтрализован
    Функция ntdll.dll:NtCreateThread (140) перехвачена, метод APICodeHijack.JmpTo[100526B2]
    >>> Код руткита в функции NtCreateThread нейтрализован
    Функция ntdll.dll:NtProtectVirtualMemory (226) перехвачена, метод APICodeHijack.JmpTo[10052702]
    >>> Код руткита в функции NtProtectVirtualMemory нейтрализован
    Функция ntdll.dll:NtSecureConnectPort (301) перехвачена, метод APICodeHijack.JmpTo[100525EA]
    >>> Код руткита в функции NtSecureConnectPort нейтрализован
    Функция ntdll.dll:NtSetContextThread (304) перехвачена, метод APICodeHijack.JmpTo[100526DA]
    >>> Код руткита в функции NtSetContextThread нейтрализован
    Функция ntdll.dll:NtSetValueKey (33 перехвачена, метод APICodeHijack.JmpTo[1005286E]
    >>> Код руткита в функции NtSetValueKey нейтрализован
    Функция ntdll.dll:NtSuspendProcess (344) перехвачена, метод APICodeHijack.JmpTo[100527CA]
    >>> Код руткита в функции NtSuspendProcess нейтрализован
    Функция ntdll.dll:NtSuspendThread (345) перехвачена, метод APICodeHijack.JmpTo[100527A2]
    >>> Код руткита в функции NtSuspendThread нейтрализован
    Функция ntdll.dll:NtTerminateProcess (34 перехвачена, метод APICodeHijack.JmpTo[1005281A]
    >>> Код руткита в функции NtTerminateProcess нейтрализован
    Функция ntdll.dll:NtWriteVirtualMemory (369) перехвачена, метод APICodeHijack.JmpTo[10052846]
    >>> Код руткита в функции NtWriteVirtualMemory нейтрализован
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:CallNextHookEx (27) перехвачена, метод APICodeHijack.JmpTo[10052CCE]
    >>> Код руткита в функции CallNextHookEx нейтрализован
    Функция user32.dll:ChangeDisplaySettingsExA (34) перехвачена, метод APICodeHijack.JmpTo[10052432]
    >>> Код руткита в функции ChangeDisplaySettingsExA нейтрализован
    Функция user32.dll:ChangeDisplaySettingsExW (35) перехвачена, метод APICodeHijack.JmpTo[1005240A]
    >>> Код руткита в функции ChangeDisplaySettingsExW нейтрализован
    Функция user32.dlldeConnect (10 перехвачена, метод APICodeHijack.JmpTo[10052CA6]
    >>> Код руткита в функции DdeConnect нейтрализован
    Функция user32.dlldeConnectList (109) перехвачена, метод APICodeHijack.JmpTo[10052C7E]
    >>> Код руткита в функции DdeConnectList нейтрализован
    Функция user32.dlldeInitializeA (122) перехвачена, метод APICodeHijack.JmpTo[10052C56]
    >>> Код руткита в функции DdeInitializeA нейтрализован
    Функция user32.dlldeInitializeW (123) перехвачена, метод APICodeHijack.JmpTo[10052C2E]
    >>> Код руткита в функции DdeInitializeW нейтрализован
    Функция user32.dll:EndTask (202) перехвачена, метод APICodeHijack.JmpTo[1005295E]
    >>> Код руткита в функции EndTask нейтрализован
    Функция user32.dll:ExitWindowsEx (226) перехвачена, метод APICodeHijack.JmpTo[100529FE]
    >>> Код руткита в функции ExitWindowsEx нейтрализован
    Функция user32.dll:FindWindowExA (229) перехвачена, метод APICodeHijack.JmpTo[10052A76]
    >>> Код руткита в функции FindWindowExA нейтрализован
    Функция user32.dll:FindWindowExW (230) перехвачена, метод APICodeHijack.JmpTo[10052A4E]
    >>> Код руткита в функции FindWindowExW нейтрализован
    Функция user32.dllostMessageA (512) перехвачена, метод APICodeHijack.JmpTo[10052B66]
    >>> Код руткита в функции PostMessageA нейтрализован
    Функция user32.dllostMessageW (513) перехвачена, метод APICodeHijack.JmpTo[10052B3E]
    >>> Код руткита в функции PostMessageW нейтрализован
    Функция user32.dll:SendInput (571) перехвачена, метод APICodeHijack.JmpTo[10052A26]
    >>> Код руткита в функции SendInput нейтрализован
    Функция user32.dll:SendMessageA (572) перехвачена, метод APICodeHijack.JmpTo[10052C06]
    >>> Код руткита в функции SendMessageA нейтрализован
    Функция user32.dll:SendMessageCallbackA (573) перехвачена, метод APICodeHijack.JmpTo[10052AC6]
    >>> Код руткита в функции SendMessageCallbackA нейтрализован
    Функция user32.dll:SendMessageCallbackW (574) перехвачена, метод APICodeHijack.JmpTo[10052A9E]
    >>> Код руткита в функции SendMessageCallbackW нейтрализован
    Функция user32.dll:SendMessageTimeoutA (575) перехвачена, метод APICodeHijack.JmpTo[10052B16]
    >>> Код руткита в функции SendMessageTimeoutA нейтрализован
    Функция user32.dll:SendMessageTimeoutW (576) перехвачена, метод APICodeHijack.JmpTo[10052AEE]
    >>> Код руткита в функции SendMessageTimeoutW нейтрализован
    Функция user32.dll:SendMessageW (577) перехвачена, метод APICodeHijack.JmpTo[10052BDE]
    >>> Код руткита в функции SendMessageW нейтрализован
    Функция user32.dll:SendNotifyMessageA (57 перехвачена, метод APICodeHijack.JmpTo[10052BB6]
    >>> Код руткита в функции SendNotifyMessageA нейтрализован
    Функция user32.dll:SendNotifyMessageW (579) перехвачена, метод APICodeHijack.JmpTo[10052B8E]
    >>> Код руткита в функции SendNotifyMessageW нейтрализован
    Функция user32.dll:SetForegroundWindow (600) перехвачена, метод APICodeHijack.JmpTo[100529D6]
    >>> Код руткита в функции SetForegroundWindow нейтрализован
    Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[10052936]
    >>> Код руткита в функции SetWinEventHook нейтрализован
    Функция user32.dll:SetWindowPos (644) перехвачена, метод APICodeHijack.JmpTo[10052986]
    >>> Код руткита в функции SetWindowPos нейтрализован
    Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[10052D1E]
    >>> Код руткита в функции SetWindowsHookExA нейтрализован
    Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[10052CF6]
    >>> Код руткита в функции SetWindowsHookExW нейтрализован
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    Ошибка в работе антируткита [Access violation at address 00404D1F in module 'avz.exe'. Read of address 4F444E49], шаг [11]

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Аутпост удалить на время лечения...

  8. #7
    Junior Member Репутация
    Регистрация
    07.04.2009
    Сообщений
    7
    Вес репутации
    55
    Только удалять ? Нельзя ли как отключить его ? Вроде бы он полностью со всеми службами отключается и выдает об этом соответсвующее сообщение. В системе еще авира контролирует процессы, вот ее не получается отключить до конца

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Удалять, его драйвера мешают и с авирой разбирайтесь...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Нельзя ли как отключить его ?
    Ну так я ж про это писал вам в начале! А вы даже не попытались это сделать. При активном Аутпосте ничего не получится. Отключить можно, по идее это поможет. Но если не поможет, придется удалять.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    07.04.2009
    Сообщений
    7
    Вес репутации
    55
    Цитата Сообщение от Bratez Посмотреть сообщение
    Ну так я ж про это писал вам в начале! А вы даже не попытались это сделать. При активном Аутпосте ничего не получится. Отключить можно, по идее это поможет. Но если не поможет, придется удалять.
    Я все сделал по вашей инструкции, но видимо отключение не помогало, а только удаление. Сейчас сделал все, как прописали. virusinfo_cure.zip получился пустым в итоге. Два других прилагаю.
    Я сделал еще полное обследование компьютера с помощью AVZ и он нашел 4 подозрения на троян. Присылать ли их в сформированном по правилам архиве virus.zip
    Вложения Вложения

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В логах чисто, установите SP3+all updates...

  13. #12
    Junior Member Репутация
    Регистрация
    07.04.2009
    Сообщений
    7
    Вес репутации
    55
    Скажите, пожалуйста, что это за процесс в Протоколе и представляет ли он какую то опасность:

    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 82F691D8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 82F691D8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 82F691D8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 82F691D8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 82F691D8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82F691D8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 82F691D8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82F691D8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 82F691D8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 82F691D8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82F691D8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82F691D8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82F691D8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82F691D8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82F691D8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 82F691D8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 82950980 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 82950980 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 82950980 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 82950980 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 82950980 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 82950980 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 82950980 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82950980 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 82950980 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 82950980 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 82950980 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 82950980 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 82950980 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 82950980 -> перехватчик не определен
    Проверка завершена

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Это Алкоголь.

  15. #14
    Junior Member Репутация
    Регистрация
    07.04.2009
    Сообщений
    7
    Вес репутации
    55
    будьте любезные, подскажите еще по такому вопросу - провел полное обследование программой AVZ и он нашел в старых папках такое - F:\LOSTFILE\DIR4\A0012374.dll >>> подозрение на Backdoor.Win32.UltimateDefender.a ( 0F1CCEC9 0EDB7E61 0025DE3B 00278349 28672)

    Как это удалить безопасно ? Не могу найти пункт в настройках AVZ, который бы удалял подозрения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Просто удалите вручную, можно в Проводнике.
    В AVZ есть команда "Отложенное удаление файла".
    I am not young enough to know everything...

  • Уважаемый(ая) Tepler, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Есть подозрение что система заражена
      От enigmatik в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 13.06.2012, 14:32
    2. Подозреваю что система заражена
      От Larin в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 13.03.2011, 22:36
    3. Была заражена система!
      От Nelbolgi в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.02.2010, 22:52
    4. Ответов: 6
      Последнее сообщение: 22.02.2009, 03:53
    5. Кажется система заражена...
      От nbnfy в разделе Помогите!
      Ответов: 93
      Последнее сообщение: 22.02.2009, 03:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00082 seconds with 20 queries