Андрей797979 3 Опубликовано 8 мая, 2009 Share Опубликовано 8 мая, 2009 Вопрос ко всем! С помощью AVZ 4.30 произвел проверку своего компа (в последнее время стал медленней работать, зависать с полосочками на экране, не всегда включается-тока лого) и вот что он выискал...обнаружена подмена PID. дело в том что я не программист и не имею ни какого образования по компам (чайник!) что делать? hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 8 мая, 2009 Share Опубликовано 8 мая, 2009 На Vista такое бывает часто. Скорее всего ложная тревога. Тем более у Вас уровень эвристики включен на максимум. Отсюда и замедление в работе Ссылка на сообщение Поделиться на другие сайты
Андрей797979 3 Опубликовано 8 мая, 2009 Автор Share Опубликовано 8 мая, 2009 от чего же не запланированные отключения? некоторые проги не всегда запускаются...в диспечере в приложениях видны, а воспользоваться не могу...и как отладить восьмой пункт. автозапуск отключал, он все равно пишет 8. Поиск потенциальных уязвимостей >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику На Vista такое бывает часто. Скорее всего ложная тревога.Тем более у Вас уровень эвристики включен на максимум. Отсюда и замедление в работе да но месяц назад проверял avz таких результатов не было проверка касперским показавает через раз на подозрение Rootkit. отмахнуться на висту-проще простого. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 8 мая, 2009 Share Опубликовано 8 мая, 2009 (изменено) Пункт 8 Вам должен исправить скрипт Автозапуск с других носителей у Вас и так отключен Восстановление системы отключите Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\C340~1\AppData\Local\Temp\SYBHMU.exe',''); QuarantineFile('C:\Users\C340~1\AppData\Local\Temp\OLKMOXGBYM.exe',''); QuarantineFile('C:\Users\C340~1\AppData\Local\Temp\HED.exe',''); QuarantineFile('C:\Users\C340~1\AppData\Local\Temp\GYLBGH.exe',''); QuarantineFile('C:\Users\C340~1\AppData\Local\Temp\FKCT.exe',''); QuarantineFile('C:\Users\C340~1\AppData\Local\Temp\BXLOWU.exe',''); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Где находит руткит? Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe Изменено 8 мая, 2009 пользователем thyrex Ссылка на сообщение Поделиться на другие сайты
Андрей797979 3 Опубликовано 8 мая, 2009 Автор Share Опубликовано 8 мая, 2009 извините, а в Vista как отключить восстановление? Ссылка на сообщение Поделиться на другие сайты
Гриша 24 Опубликовано 8 мая, 2009 Share Опубликовано 8 мая, 2009 http://support.kaspersky.ru/viruses/solutions?qid=208635440 Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 8 мая, 2009 Share Опубликовано 8 мая, 2009 AVZ в следующий раз запускайте от имени администратора. По правой кнопке. Да и gmer тоже Ссылка на сообщение Поделиться на другие сайты
Андрей797979 3 Опубликовано 8 мая, 2009 Автор Share Опубликовано 8 мая, 2009 после выполнения скрипта begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\C340~1\AppData\Local\Temp\SYBHMU.exe',''); QuarantineFile('C:\Users\C340~1\AppData\Local\Temp\OLKMOXGBYM.exe',''); QuarantineFile('C:\Users\C340~1\AppData\Local\Temp\HED.exe',''); QuarantineFile('C:\Users\C340~1\AppData\Local\Temp\GYLBGH.exe',''); QuarantineFile('C:\Users\C340~1\AppData\Local\Temp\FKCT.exe',''); QuarantineFile('C:\Users\C340~1\AppData\Local\Temp\BXLOWU.exe',''); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. комп перезегружается, тока зависает на лого...ждал минут 5...принудительно перезапустил(пробовал повтор-тоже самое) далее скачал прогу, запустил сканирование...в начале сканирует, потом виснет наглухо( на всем известные кнопки ctri+alt+del не реагирует) приходиться в принудительном порядке перезапустить через кнопку power. перезапустил систему, переименовал файлик, запустил на сканирование, то же что и в первый раз каспер ругается иногда на подозрение руткита...не указывая путей и объектов ...и еще не знаю где пароль на архив quarantine? Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 8 мая, 2009 Share Опубликовано 8 мая, 2009 (изменено) Паролем является слово virus. Данный пароль укажите в письие, когда будете отправлять архив на newvirus@kaspersky.com, чтобы аналитики знали, какой пароль установлен. Скачайте Vba32 AntiRootkit отсюда или отсюда. - Распакуйте архив и запустите программу (исполняемый файл Vba32arkit.exe); - Уберите галочку с Use AntiVirus Kernel; - Вверху слева выберите меню File -> Logging State и нажмите Start; - Сохраните лог (файл Vba32arkitLog), запакуйте его в архив и прикрепите его к следующему сообщению. Изменено 8 мая, 2009 пользователем Falcon Ссылка на сообщение Поделиться на другие сайты
Андрей797979 3 Опубликовано 8 мая, 2009 Автор Share Опубликовано 8 мая, 2009 удалось запустить gmer. жду когда закончит сканирование. Сколько уходит у newvirus@kaspersky.com на ответ? Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 8 мая, 2009 Share Опубликовано 8 мая, 2009 от 10-15 минут, до 1 дня, в зависимости от загруженности аналитиков. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 8 мая, 2009 Share Опубликовано 8 мая, 2009 Как повезет. Некоторым отвечают быстро Ссылка на сообщение Поделиться на другие сайты
Dzon 46 Опубликовано 8 мая, 2009 Share Опубликовано 8 мая, 2009 удалось запустить gmer. жду когда закончит сканирование. Сколько уходит у newvirus@kaspersky.com на ответ? отвечают сразу и оперативно, без задержек - мне ответили через 1 час. Ссылка на сообщение Поделиться на другие сайты
Андрей797979 3 Опубликовано 8 мая, 2009 Автор Share Опубликовано 8 мая, 2009 вот лог gmer лог от Vba32arkit_beta от newvirus@kaspersky.com пока тишина. а по логам которые выложил, че нить есть нового? gmer.log Vba32ArkitLog.rar Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 8 мая, 2009 Share Опубликовано 8 мая, 2009 (изменено) Я по логам ничего явно зловредного не углядел. Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Изменено 8 мая, 2009 пользователем Falcon Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения