-
Scano.AQ
Народ нужна помощь, человек обратился с помощью, а у меня совсем времени нет на разбор полётов..
Мне тоже нужна помошь
Подхватил.
AVP и NOD32 его определяют как Scano.AQ
NAV определяет как W32.Areses.Q@mm
файлов csrss.exe,lsass.exe и arm32.dll не обнаруженно, лишних записей в реестре о них тоже нет.
Записи в рестре типа:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows NT
\CurrentVersion\Devices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm32.dll
и значения:
"Debugger" = "%Windir%\csrss.exe"
"Application" = "[VARIABLE DWORD VALUE]"
отсутствуют
В папке темп постоянно создаются и удаляются файлики типа
temp\tmp923.tmp
temp\tmp82.tmp
, которых и блочат антивири. Так же этот червь всегда пытается добраться до NAVовского приложения (...\Norton AntiVirus\navapsvc.exe).
Где эта зараза прописалась и как её выдрать пока не пойму.
п.с.
"AVZGuard - Включить AVZGuard. Файл - Восстановление системы. Отметить Удаление отладчиков, выполнить."
- Выполнял не помогло.
Файл - Отложенное удаление. - выполнить не могу, т.к. не знаю какой файл заражен!
Вот логи, тему поднял я, дальше будет отвечать этот человек..
Всем заранее спасибо!
Последний раз редактировалось Ego1st; 28.09.2007 в 15:37.
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Visiting Helper
- Вес репутации
- 76
Хмммм сходу ничего невидно 
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
В папке темп постоянно создаются и удаляются файлики типа
temp\tmp923.tmp
temp\tmp82.tmp
, которых и блочат антивири.
Посмотреть, кто их создает, filemon-ом.
См. на http://www.sysinternals.com
- Чей E:\WIN_XP\system32\Drivers\ujixmzcz.sys ?
Последний раз редактировалось Alexey P.; 10.10.2006 в 01:38.
-
-
Filemon не показывает, уже пытались проверить им..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Сообщение от
Ego1st
Вот логи, тему поднял я, дальше будет отвечать этот человек..
не сможет. в этом разделе писать могут только хелперы и топикстартер
-
-
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
значить всё таки через меня будут сообщения проходить..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Сообщение от
Ego1st
В папке темп постоянно создаются и удаляются файлики типа
temp\tmp923.tmp
temp\tmp82.tmp
, которых и блочат антивири.
Загрузите один из таких файлов черех форму https://virusinfo.info/upload_virus.php в архиве с паролем virus
Ссылка на вашу тему http://virusinfo.info/showthread.php?t=6425
-
-
Сообщение от
Ego1st
значить всё таки через меня будут сообщения проходить..
-ну, или от Вашего имени... если передадите свой логин и пароль тому человеку.
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Сообщение от
AndreyKa
Файл неполучается поймать, он создается и потом сразу изчезает, уже пробовали..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Сообщение от
Alexey P.
этот файл в системе небыл найден
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
кто что предложит по поиску данного файла?
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Сообщение от
Ego1st
кто что предложит по поиску данного файла?
Загрузится в безопасном режиме с поддержкой командной строки и проверить наличие таких файлов как:
"%Windir%\csrss.exe
C:\ntldr.exe
c:\[случайный набор символов].exe
Если найдутся переместить в отдельную папку.
-
-
Сообщение от
AndreyKa
Загрузится в безопасном режиме с поддержкой командной строки и проверить наличие таких файлов как:
"%Windir%\csrss.exe
C:\ntldr.exe
c:\[случайный набор символов].exe
Если найдутся переместить в отдельную папку.
хорошо посмотрим..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
В корне диска C: есть файл без расширения "NTLDR" - он системный. Не удалите его случайно.
-
-
Я так уже делал
"%Windir%\csrss.exe - нету
ntldr - естественно я не уберу, система не заведется, но пробовал его ставить от другой XP.
ни чего особенного под виом *.exe я не находил, но все *.exe все равно пробовал убирать - результат нулевой.
нету ничего из этого, какие есть варианты по нахождению E:\WIN_XP\system32\Drivers\ujixmzcz.sys по логам он грузиться, но его не видно..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
ап, народ незабываем тему..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Можно попробовать GMER: - "settings", отметить пункты
-"ok", после перезагрузки лог будет на вкладке "Log", чтобы убедиться что такой драйвер есть. Если AVZ с противодействием руткитам не видит, - поискать файл загрузившись с загрузочного сд (или установив консоль восстановления поискать из консоли).
-
-
Сообщение от
Ego1st
нету ничего из этого, какие есть варианты по нахождению E:\WIN_XP\system32\Drivers\ujixmzcz.sys по логам он грузиться, но его не видно..
Приношу извинения за то, что влезаю в тему, не разобравшись до конца, но не может ли это быть драйвер от самой AVZ?
-
-
вообще наверное может, тогда вообще непонятно кто создаёт эти файлы..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
