-
Junior Member
- Вес репутации
- 49
Прошу мнения и совета специалистов.
Поймал с чужой флешки какую-то заразу, стоящий на машине Symantec ругнулся и даже вроде как удалил ту беду, но после этого за машиной стал замечать странности. Запустил AVZ, он мне нашел сколько то заразы и вроде избавил от нее. но сомнения остались и Symantec заблокировался. Висит в трее, перечеркнутым - вручную запустить не удается
Прогнал Курейт, но ничего страшного не нашел, после прогонял AVPTool - и тоже ничего.
Посмотрите пожалуйста логи - вынесите вердикт.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 49
Скрипт выполнил, карантин загрузил:
Файл сохранён как 110113_140116_virus_4d2edb7c1b6e5.zip
Размер файла 602
Логи новые сделал, жду дальнейшего руководства к действиям.
-
В логах больше ничего плохого не видно.
Проверьте наличие файла
C:\WINDOWS\System32\sfcfiles.dll.
При отсутствии - восстановите из дистрибутива.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Такого файла не было. Из дистриба восстановил его. Спасибо огромное за помощь.
А просвятите еще плиз - или ткните ссылкой, что прочитать, чтоб понять, что за ерунда, вот сейчас снова запустил AVZ и увидел -
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48B0 (284)
Функция NtCreateKey (29) перехвачена (8057791D->F74E40E0), перехватчик spfu.sys
Функция NtEnumerateKey (47) перехвачена (80578E14->F74FCDA4), перехватчик spfu.sys
Функция NtEnumerateValueKey (49) перехвачена (80587693->F74FD132), перехватчик spfu.sys
Функция NtOpenKey (77) перехвачена (80572BF4->F74E40C0), перехватчик spfu.sys
Функция NtQueryKey (A0) перехвачена (80578A14->F74FD20A), перехватчик spfu.sys
Функция NtQueryValueKey (B1) перехвачена (80573037->F74FD08A), перехватчик spfu.sys
Функция NtSetValueKey (F7) перехвачена (8058228C->F74FD29C), перехватчик spfu.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
и еще много вот такого красного цвета -
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8B6271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8B6271F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8B6271F8 -> перехватчик не определен
.... И ИХ МНОГО! (хотя может это и не страшно, просто хочется знать, что это)
-
не страшно ... эмулятор дисков
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-