Андрей797979 3 Опубликовано 19 июня, 2009 Автор Share Опубликовано 19 июня, 2009 неужели случай с этим Keyloggerом безнадежен или нет такого инструмента против него? AVZ по ходу маловато? Наверно сезон отпусков взял свое начало и некому подсказать че еще дельного.... замучал бук, но вышел все таки лог от gmer +новый лог от AVZ gmer.log virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 20 июня, 2009 Share Опубликовано 20 июня, 2009 (изменено) Всеже восстановление системы не отключено (. При выполнении скриптов надо еще отключиться от интернета.(есть три "левых" соединения) Позже напишу скрипт если еще актуально. Много работы. ( В АВЗ сделать- Сервис-Поиск файлов на диске поискать файл ђslc.dll и попытаться скопировать его в карантин зы. в авз старые базы. скачайте полиморфный авз отсюда http://www.speedshare.org/download.php?id=048411093 Изменено 20 июня, 2009 пользователем миднайт Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 20 июня, 2009 Share Опубликовано 20 июня, 2009 (изменено) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('ASMMAP.sys',''); QuarantineFile('C:\Windows\system32\Drivers\removeany.sys',''); SetServiceStart('BXLOWU', 4); StopService('BXLOWU'); DeleteService('BXLOWU'); SetServiceStart('FKCT', 4); StopService('FKCT'); DeleteService('FKCT'); SetServiceStart('GYLBGH', 4); StopService('GYLBGH'); DeleteService('GYLBGH'); SetServiceStart('OLKMOXGBYM', 4); StopService('OLKMOXGBYM'); DeleteService('OLKMOXGBYM'); SetServiceStart('SPMLM', 4); StopService('SPMLM'); DeleteService('SPMLM'); SetServiceStart('SYBHMU', 4); StopService('SYBHMU'); DeleteService('SYBHMU'); QuarantineFile('OLKMOXGBYM.sys',''); QuarantineFile('SYBHMU.sys',''); QuarantineFile('SPMLM.sys',''); QuarantineFile('HED.sys',''); QuarantineFile('GYLBGH.sys',''); QuarantineFile('FKCT.sys',''); QuarantineFile('BXLOWU.sys',''); QuarantineFile('ATKGFNEXSrv.sys',''); DeleteFile('OLKMOXGBYM.sys'); DeleteFile('SPMLM.sys'); DeleteFile('SYBHMU.sys'); DeleteFile('GYLBGH.sys'); DeleteFile('FKCT.sys'); DeleteFile('BXLOWU.sys'); QuarantineFile('C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc\Ntf7CDC.tmp',''); DeleteFile('C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc\Ntf7CDC.tmp'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. и как обычно begin CreateQurantineArchive(GetAVZDirectory+'quarantine3.zip'); end. Изменено 20 июня, 2009 пользователем миднайт Цитата Ссылка на сообщение Поделиться на другие сайты
SergeyUser 19 Опубликовано 20 июня, 2009 Share Опубликовано 20 июня, 2009 Обновил касперского. и вот при проверке ругается на Клавиатурный перехват C:\WINDOWS\SYSTEM32\DRIVERS\KBFILTR.SYS Не завершен: Keylogger , Клавиатурный перехват C:\WINDOWS\SYSTEM32\DRIVERS\SYNTP.SYS Не завершен: Keylogger , обнаружено: IrpTableChanged . Объясните плиз, на что ругается каспер Логи ща выложу... логи Андрей797979, скорее всего, у вас все нормально. "C:\WINDOWS\SYSTEM32\DRIVERS\SYNTP.SYS" - Это: Synaptics Touchpad Driver, который на вполне законных основаниях осуществляет перехват, реализуя свои прямые функции. Это попросту драйвер вашего тачпада. Если вас это смущает, можете его просто удалить, или добавить исключение. У меня точно такое же поведение. Цитата Ссылка на сообщение Поделиться на другие сайты
Андрей797979 3 Опубликовано 22 июня, 2009 Автор Share Опубликовано 22 июня, 2009 на счет востановления системы. мой комьютер-свойства-защита системы-автоматически создавать точки восстановления на выбранных дисках-галочки сняты на обеих дисках. скрипты выполнил-каспер молчит! файл ђslc.dll-не нашелся.... в авз старые базы. скачайте полиморфный авз отсюда http://www.speedshare.org/download.php?id=048411093 ССЫЛКА ЧЕТ НЕ РАБОТАЕТ перегрузил комп и снова 22.06.2009 9:13:36 Клавиатурный перехват C:\WINDOWS\SYSTEM32\DRIVERS\SYNTP.SYS Не завершен: Keylogger Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 22 июня, 2009 Share Опубликовано 22 июня, 2009 (изменено) @перегрузил комп и снова 22.06.2009 9:13:36 Клавиатурный перехват C:\WINDOWS\SYSTEM32\DRIVERS\SYNTP.SYS Не завершен: Keylogger @ не причина для паники). это легетимный файл. можно его проверить в принципе. еще какие то проблемы остались? зы. ссылка рабочая. Изменено 22 июня, 2009 пользователем миднайт Цитата Ссылка на сообщение Поделиться на другие сайты
Андрей797979 3 Опубликовано 23 июня, 2009 Автор Share Опубликовано 23 июня, 2009 если предупреждения о кл.перехвате не в счет тыгды-нет проблем всем спасибо! Цитата Ссылка на сообщение Поделиться на другие сайты
ROMIK 21 Опубликовано 23 июня, 2009 Share Опубликовано 23 июня, 2009 если предупреждения о кл.перехвате не в счет тыгды-нет проблем всем спасибо! Очень неожиданная концовка топика Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 24 июня, 2009 Share Опубликовано 24 июня, 2009 А вы зря смеетесь). Я же не говорил что в логах - чисто )). Если сейчас машина чуствует себя хорошо - то ОК. Цитата Ссылка на сообщение Поделиться на другие сайты
ROMIK 21 Опубликовано 24 июня, 2009 Share Опубликовано 24 июня, 2009 А вы зря смеетесь). Я же не говорил что в логах - чисто )). Если сейчас машина чуствует себя хорошо - то ОК. Не обижайтесь, просто концовка действительно интересная. В частности это: если предупреждения о кл.перехвате не в счет тыгды-нет проблем всем спасибо! Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 24 июня, 2009 Share Опубликовано 24 июня, 2009 Ну так выяснили, что перехват от легитимной программы. Цитата Ссылка на сообщение Поделиться на другие сайты
Андрей797979 3 Опубликовано 29 июня, 2009 Автор Share Опубликовано 29 июня, 2009 Ну так выяснили, что перехват от легитимной программы. что это значит? и что за прога? Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 29 июня, 2009 Share Опубликовано 29 июня, 2009 The process Synaptics Touchpad Driver belongs to the software Synaptics Pointing Device Driver or Synaptics TouchPad Driver or Synaptics Device Driver by Synaptics, Inc (www.synaptics.com). Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.