symantek и avz находят руткит.
проверил cureit в сейф моде, правда пришлось прервать полную проверку.
логи avz и hijack приложил
symantek и avz находят руткит.
проверил cureit в сейф моде, правда пришлось прервать полную проверку.
логи avz и hijack приложил
Последний раз редактировалось Gamil; 13.11.2009 в 00:14.
Выключить антивирус, фаервол и другой защитный софт.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\uti4mzqz.sys',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8LMBOP2R\explorer[1].exe',''); QuarantineFile('digiwet.dll',''); QuarantineFile('C:\WINDOWS\system32\digiwet.dll',''); QuarantineFile('%SYSTEMDRIVE%\ScriptLogic\Daci.dll',''); QuarantineFile('C:\WINDOWS\system32\svcnost.exe,',''); DeleteFile('C:\WINDOWS\system32\svcnost.exe,'); DeleteFile('digiwet.dll'); DeleteFile('C:\WINDOWS\system32\digiwet.dll'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8LMBOP2R\explorer[1].exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2. Повторить логи
В настоящий момент антивирус Symantec детектирует драйвер AVZ как троян. Это ложное срабатывание
The worst foe lies within the self...
Симантек отключил, а ничего другого включенного не нашел. Скрипт выполнил, карантин выложил, логи прикрепил
Последний раз редактировалось Gamil; 13.11.2009 в 00:13.
Я как то не так выложил логи? или что то тяжкое ?
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Temp\rdl61.tmp.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\0PE3GTI7\pin[1].exe',''); DeleteFile('C:\WINDOWS\Temp\rdl61.tmp.exe'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\0PE3GTI7\pin[1].exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Сделал.
PS А что за uti4mzqs.sys в system32\drivers обнаруживается и симантеком и AVZ.
Что то выкладывание логов и карантина не работает, как смогу выложу
Последний раз редактировалось Gamil; 14.05.2009 в 12:03.
Это драйвер AVZ вроде бы раньше был. На него Симантек всегда ругается.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
выложил логи и карантин
ПС Так на uti4mzqs.sys сам AVZ пишет что это подозрение на руткит в процессе проверки поэтому забеспокоился .
Последний раз редактировалось Gamil; 13.11.2009 в 00:13.
Станд. скрипт №6 выполни, а потом проверку сделай. Скорее всего, это драйвер от старой версии AVZ.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполни в авз 6-й скрипт по удалению драйверов.
Проверил симантеком папку system32 - ничего не нашел
А в остальном все нормально было ?
Было удалено:
pin[1].exe,
rdl61.tmp.exe - Trojan.Win32.Buzus.aysl
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\0pe3gti7\pin[1].exe - Trojan.Win32.Buzus.aysl ( BitDefender: Trojan.Generic.1776804 )
- c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\8lmbop2r\explorer[1].exe - Trojan-Dropper.Win32.Agent.anty ( DrWEB: Trojan.DownLoad.33158, BitDefender: Trojan.Generic.1757627 )
- c:\windows\temp\rdl61.tmp.exe - Trojan.Win32.Buzus.aysl ( BitDefender: Trojan.Generic.1776804 )
Уважаемый(ая) Gamil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.