Jump to content
СофтФорум - всё о компьютерах и не только

Подозрительный лог от AVZ


Recommended Posts

Такой лог

Протокол антивирусной утилиты AVZ версии 4.30

Сканирование запущено в 26.05.2008 21:20:26

Загружена база: сигнатуры - 166422, нейропрофили - 2, микропрограммы лечения - 55, база от 25.05.2008 22:29

Загружены микропрограммы эвристики: 370

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 71143

Режим эвристического анализатора: Максимальный уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод APICodeHijack.JmpTo[607066E6]

>>> Код руткита в функции LoadLibraryA нейтрализован

Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод APICodeHijack.JmpTo[60706606]

>>> Код руткита в функции LoadLibraryExA нейтрализован

Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод APICodeHijack.JmpTo[607064D6]

>>> Код руткита в функции LoadLibraryExW нейтрализован

Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод APICodeHijack.JmpTo[607067B6]

>>> Код руткита в функции LoadLibraryW нейтрализован

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Функция advapi32.dll:CryptAcquireContextA (135) перехвачена, метод APICodeHijack.JmpTo[60705336]

>>> Код руткита в функции CryptAcquireContextA нейтрализован

Функция advapi32.dll:CryptAcquireContextW (136) перехвачена, метод APICodeHijack.JmpTo[60705426]

>>> Код руткита в функции CryptAcquireContextW нейтрализован

Функция advapi32.dll:SystemFunction035 (619) перехвачена, метод APICodeHijack.JmpTo[60705526]

>>> Код руткита в функции SystemFunction035 нейтрализован

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=082B80)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80559B80

KiST = 804E2D20 (284)

Проверено функций: 284, перехвачено: 0, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F295E83B] C:\WINDOWS\System32\haspnt.sys, драйвер опознан как безопасный

>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F295E780] C:\WINDOWS\System32\haspnt.sys, драйвер опознан как безопасный

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Поиск маскировки процессов и драйверов завершен

Драйвер успешно загружен

1.5 Проверка обработчиков IRP

Проверка завершена

2. Проверка памяти

Количество найденных процессов: 32

Анализатор - изучается процесс 1812 C:\Program Files\Infotecs\ViPNet CryptoService\itccspini.exe

[ES]:Приложение не имеет видимых окон

Анализатор - изучается процесс 1880 C:\WINDOWS\System32\brsvc01a.exe

[ES]:Приложение не имеет видимых окон

[ES]:Размещается в системной папке

Анализатор - изучается процесс 1916 C:\WINDOWS\System32\brss01a.exe

[ES]:Приложение не имеет видимых окон

[ES]:Размещается в системной папке

Анализатор - изучается процесс 932 C:\Program Files\NetLimiter 2 Pro\nlsvc.exe

[ES]:Может работать с сетью

[ES]:Прослушивает порты TCP !

[ES]:Приложение не имеет видимых окон

[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

Анализатор - изучается процесс 3296 C:\Program Files\Opera7\Opera.exe

[ES]:Может работать с сетью

[ES]:Прослушивает порты, применяемые протоколом HTTP !

[ES]:EXE упаковщик ?

[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

Количество загруженных модулей: 283

Проверка памяти завершена

3. Сканирование дисков

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:\WINDOWS\system32\itcadvapi.dll --> Подозрение на троянскую DLL. Обнаружена маскировка реального имени DLL

C:\WINDOWS\system32\itcadvapi.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

В базе 317 описаний портов

На данном ПК открыто 19 TCP портов и 8 UDP портов

Проверка завершена, подозрительные порты не обнаружены

7. Эвристичеcкая проверка системы

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

Проверка завершена

9. Мастер поиска и устранения проблем

Проверка завершена

Просканировано файлов: 318, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0

Сканирование завершено в 26.05.2008 21:21:26

Сканирование длилось 00:01:02

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

Вопрос по поводу Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод APICodeHijack.JmpTo[607066E6] и аналогов - это вирус или вредная гадость?

Если да, то как его победить? У меня постоянно выдает после проверки AVZ, но появилась относительно недавно.

Прилагаю также

Logfile of HijackThis v1.99.1

Scan saved at 21:13:17, on 26.05.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Infotecs\ViPNet CryptoService\itccspini.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\WINDOWS\system32\CNAB4RPK.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\Lvagent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\NetLimiter 2 Pro\nlsvc.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\UStorSrv.exe

C:\Program Files\Hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:2080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\PROGRA~1\EPSON\EPSONW~1\EPSONW~1.DLL

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\PROGRA~1\EPSON\EPSONW~1\EPSONW~1.DLL

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Ad Muncher] C:\Program Files\Ad Muncher\AdMunch.exe /bt

O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 9.0 Multilingual Dictionary\Lvagent.exe" /STARTUP

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: ColorVisionStartup.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Добавить в существующий PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Добавить выделенное в существующий PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Добавить выделенные ссылки в существующий PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Добавить целевую ссылку в существующий PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O8 - Extra context menu item: Преобразовать в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Преобразовать выбранные ссылки в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Преобразовать выделенную область в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Преобразовать целевую ссылку в Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)

O11 - Options group: [iNTERNATIONAL] International*

O15 - Trusted Zone: http://base.consultant.ru

O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{3FAE15A4-56A2-44EB-9833-43BBCF9429C4}: NameServer = 195.98.32.193,195.98.32.200

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 2 Pro\nlsvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

(file missing)

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

O23 - Service: ViPNet CryptoProvider Supporter (ViPNetCPSupp) - InfoTeCS - C:\Program Files\Infotecs\ViPNet CryptoService\itccspini.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Успокойте, плз, либо научите, как его грохнуть.

Link to comment
Share on other sites

В логах HJT присутствуют BitAccelerator и Connection Services. Это же Adware, почему AVZ их не детектировала? Свеженькие?

Link to comment
Share on other sites

Avz их не детектит...это не ее задание.

Как это? На странице, описывающей назначение программы, написано, что она обнаруживает и удаляет Spyware и Adware модули. Почему же адварные модули, упомянутые мной в предыдущем посте не были удалены? Из-за изменения дефолтных настроек проверки?

Link to comment
Share on other sites

Это утилита для анализа детект не есть главная задача....главное анализ системы

Link to comment
Share on other sites

после выполнения стандартного скрипта №1 сообщения типа Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод APICodeHijack.JmpTo[607066E6] при повторной проверке пропадают, но только до перезапуска AVZ, как только его запускаю заново, все возвращается, то же самое и при перезагрузке системы.

таким образом - virusinfo_syscheck.zip - первый вариант;

2virusinfo_syscheck.zip - лог после стд. скрипта №1, но без перезапуска AVZ;

3virusinfo_syscheck.zip - лог после запуска AVZ (но без перезапуска системы).

вот такие логи.

я так и не понял, лечится это, и вирус (бяка) ли это.

ЧТО ЖЕ НАДО ДЕЛАТЬ?

virusinfo_syscheck.zip

hijackthis.log

2virusinfo_syscheck.zip

3virusinfo_syscheck.zip

virusinfo_syscheck.zip

hijackthis.log

2virusinfo_syscheck.zip

3virusinfo_syscheck.zip

Link to comment
Share on other sites

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ColorVisionStartup.exe','');QuarantineFile('C:\WINDOWS\system32\itcadvapi.dll','');QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');QuarantineFile('command.exe','');QuarantineFile('C:\WINDOWS\anvshell.exe','');QuarantineFile('c:\windows\system32\brss01a.exe','');DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

	O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll 
Edited by akoK
Link to comment
Share on other sites

В карантине кроме двух адваре ничего нет....какие существуют проблемы?

Слава богу никаких проблем нет.

Меня просто в ступор ввели сообщения типа "Функция advapi32.dll:CryptAcquireContextA (135) перехвачена, метод APICodeHijack.JmpTo[60705336]", которые как я понимаю говорят о действии вредного ПО. Если это что называется просто перебдел - то тогда прошу прощения за беспокойство, хотя ранее таких тем у меня не было.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...