Simply Sasha Опубликовано 26 мая, 2008 Жалоба Поделиться Опубликовано 26 мая, 2008 Такой лог Протокол антивирусной утилиты AVZ версии 4.30 Сканирование запущено в 26.05.2008 21:20:26 Загружена база: сигнатуры - 166422, нейропрофили - 2, микропрограммы лечения - 55, база от 25.05.2008 22:29 Загружены микропрограммы эвристики: 370 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 71143 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: включено Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод APICodeHijack.JmpTo[607066E6] >>> Код руткита в функции LoadLibraryA нейтрализован Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод APICodeHijack.JmpTo[60706606] >>> Код руткита в функции LoadLibraryExA нейтрализован Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод APICodeHijack.JmpTo[607064D6] >>> Код руткита в функции LoadLibraryExW нейтрализован Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод APICodeHijack.JmpTo[607067B6] >>> Код руткита в функции LoadLibraryW нейтрализован Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Функция advapi32.dll:CryptAcquireContextA (135) перехвачена, метод APICodeHijack.JmpTo[60705336] >>> Код руткита в функции CryptAcquireContextA нейтрализован Функция advapi32.dll:CryptAcquireContextW (136) перехвачена, метод APICodeHijack.JmpTo[60705426] >>> Код руткита в функции CryptAcquireContextW нейтрализован Функция advapi32.dll:SystemFunction035 (619) перехвачена, метод APICodeHijack.JmpTo[60705526] >>> Код руткита в функции SystemFunction035 нейтрализован Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=082B80) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 80559B80 KiST = 804E2D20 (284) Проверено функций: 284, перехвачено: 0, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F295E83B] C:\WINDOWS\System32\haspnt.sys, драйвер опознан как безопасный >>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F295E780] C:\WINDOWS\System32\haspnt.sys, драйвер опознан как безопасный Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Поиск маскировки процессов и драйверов завершен Драйвер успешно загружен 1.5 Проверка обработчиков IRP Проверка завершена 2. Проверка памяти Количество найденных процессов: 32 Анализатор - изучается процесс 1812 C:\Program Files\Infotecs\ViPNet CryptoService\itccspini.exe [ES]:Приложение не имеет видимых окон Анализатор - изучается процесс 1880 C:\WINDOWS\System32\brsvc01a.exe [ES]:Приложение не имеет видимых окон [ES]:Размещается в системной папке Анализатор - изучается процесс 1916 C:\WINDOWS\System32\brss01a.exe [ES]:Приложение не имеет видимых окон [ES]:Размещается в системной папке Анализатор - изучается процесс 932 C:\Program Files\NetLimiter 2 Pro\nlsvc.exe [ES]:Может работать с сетью [ES]:Прослушивает порты TCP ! [ES]:Приложение не имеет видимых окон [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Анализатор - изучается процесс 3296 C:\Program Files\Opera7\Opera.exe [ES]:Может работать с сетью [ES]:Прослушивает порты, применяемые протоколом HTTP ! [ES]:EXE упаковщик ? [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ? Количество загруженных модулей: 283 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\WINDOWS\system32\itcadvapi.dll --> Подозрение на троянскую DLL. Обнаружена маскировка реального имени DLL C:\WINDOWS\system32\itcadvapi.dll>>> Поведенческий анализ Типичное для кейлоггеров поведение не зарегистрировано На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами В базе 317 описаний портов На данном ПК открыто 19 TCP портов и 8 UDP портов Проверка завершена, подозрительные порты не обнаружены 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) Проверка завершена 9. Мастер поиска и устранения проблем Проверка завершена Просканировано файлов: 318, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 26.05.2008 21:21:26 Сканирование длилось 00:01:02 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info Вопрос по поводу Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод APICodeHijack.JmpTo[607066E6] и аналогов - это вирус или вредная гадость? Если да, то как его победить? У меня постоянно выдает после проверки AVZ, но появилась относительно недавно. Прилагаю также Logfile of HijackThis v1.99.1 Scan saved at 21:13:17, on 26.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Infotecs\ViPNet CryptoService\itccspini.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\system32\CNAB4RPK.EXE C:\WINDOWS\Explorer.EXE C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\Lvagent.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE C:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\NetLimiter 2 Pro\nlsvc.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UStorSrv.exe C:\Program Files\Hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:2080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\PROGRA~1\EPSON\EPSONW~1\EPSONW~1.DLL O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\PROGRA~1\EPSON\EPSONW~1\EPSONW~1.DLL O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Ad Muncher] C:\Program Files\Ad Muncher\AdMunch.exe /bt O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\Lvagent.exe" /STARTUP O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: ColorVisionStartup.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Добавить в существующий PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Добавить выделенное в существующий PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Добавить выделенные ссылки в существующий PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Добавить целевую ссылку в существующий PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm O8 - Extra context menu item: Преобразовать в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Преобразовать выбранные ссылки в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Преобразовать выделенную область в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Преобразовать целевую ссылку в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU) O11 - Options group: [iNTERNATIONAL] International* O15 - Trusted Zone: http://base.consultant.ru O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{3FAE15A4-56A2-44EB-9833-43BBCF9429C4}: NameServer = 195.98.32.193,195.98.32.200 O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 2 Pro\nlsvc.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe (file missing) O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe O23 - Service: ViPNet CryptoProvider Supporter (ViPNetCPSupp) - InfoTeCS - C:\Program Files\Infotecs\ViPNet CryptoService\itccspini.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe Успокойте, плз, либо научите, как его грохнуть. Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 26 мая, 2008 Жалоба Поделиться Опубликовано 26 мая, 2008 (изменено) Прочитать и выполнить. Логи нужны другие. Изменено 26 мая, 2008 пользователем ser208 Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 26 мая, 2008 Жалоба Поделиться Опубликовано 26 мая, 2008 В логах HJT присутствуют BitAccelerator и Connection Services. Это же Adware, почему AVZ их не детектировала? Свеженькие? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 26 мая, 2008 Жалоба Поделиться Опубликовано 26 мая, 2008 Avz их не детектит...это не ее задание. Ссылка на комментарий Поделиться на другие сайты Поделиться
Matias Опубликовано 26 мая, 2008 Жалоба Поделиться Опубликовано 26 мая, 2008 Avz их не детектит...это не ее задание. Как это? На странице, описывающей назначение программы, написано, что она обнаруживает и удаляет Spyware и Adware модули. Почему же адварные модули, упомянутые мной в предыдущем посте не были удалены? Из-за изменения дефолтных настроек проверки? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 26 мая, 2008 Жалоба Поделиться Опубликовано 26 мая, 2008 Это утилита для анализа детект не есть главная задача....главное анализ системы Ссылка на комментарий Поделиться на другие сайты Поделиться
Simply Sasha Опубликовано 26 мая, 2008 Автор Жалоба Поделиться Опубликовано 26 мая, 2008 после выполнения стандартного скрипта №1 сообщения типа Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод APICodeHijack.JmpTo[607066E6] при повторной проверке пропадают, но только до перезапуска AVZ, как только его запускаю заново, все возвращается, то же самое и при перезагрузке системы. таким образом - virusinfo_syscheck.zip - первый вариант; 2virusinfo_syscheck.zip - лог после стд. скрипта №1, но без перезапуска AVZ; 3virusinfo_syscheck.zip - лог после запуска AVZ (но без перезапуска системы). вот такие логи. я так и не понял, лечится это, и вирус (бяка) ли это. ЧТО ЖЕ НАДО ДЕЛАТЬ? virusinfo_syscheck.zip hijackthis.log 2virusinfo_syscheck.zip 3virusinfo_syscheck.zip virusinfo_syscheck.zip hijackthis.log 2virusinfo_syscheck.zip 3virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 27 мая, 2008 Жалоба Поделиться Опубликовано 27 мая, 2008 (изменено) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ColorVisionStartup.exe','');QuarantineFile('C:\WINDOWS\system32\itcadvapi.dll','');QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');QuarantineFile('command.exe','');QuarantineFile('C:\WINDOWS\anvshell.exe','');QuarantineFile('c:\windows\system32\brss01a.exe','');DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Пофиксить в HijackThis следующие строчки O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll Изменено 27 мая, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
Simply Sasha Опубликовано 27 мая, 2008 Автор Жалоба Поделиться Опубликовано 27 мая, 2008 отправил, весит 14 мб Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 27 мая, 2008 Жалоба Поделиться Опубликовано 27 мая, 2008 В карантине кроме двух адваре ничего нет....какие существуют проблемы? Ссылка на комментарий Поделиться на другие сайты Поделиться
Simply Sasha Опубликовано 28 мая, 2008 Автор Жалоба Поделиться Опубликовано 28 мая, 2008 В карантине кроме двух адваре ничего нет....какие существуют проблемы? Слава богу никаких проблем нет. Меня просто в ступор ввели сообщения типа "Функция advapi32.dll:CryptAcquireContextA (135) перехвачена, метод APICodeHijack.JmpTo[60705336]", которые как я понимаю говорят о действии вредного ПО. Если это что называется просто перебдел - то тогда прошу прощения за беспокойство, хотя ранее таких тем у меня не было. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти