Решил провериться...

[JIABP 222]

В свете последних событий решил проверится GSI, AVZ, Hjackthis, на предмет гадостей в моей системе. Всё делал строго по правилам, которые висят у нас на форуме. Хэлперов прошу просмотреть 4 лога, и указать на подозрительные места в системе.

 

JIABP_sysinfo.zip JIABP_hijackthis.zip JIABP_AVZ.zip

 

Да, кстати, хоть убей, ну нету у меня virusinfo_syscheck.zip в папке AVZ\LOG. Есть только virusinfo_cure.zip, virusinfo_syscure.xml ,virusinfo_syscure.htm, virusinfo_syscure.zip и всё. Эти все файлы лежат в аттаче JIABP_AVZ.

[vidocq89 27]

Лавр перепутал все что мог и нарушил правила еще))

карантин...

убери)

[Pyatnitsev Danil 34]

в карантине чисто.

[vidocq89 27]

в карантине чисто.

да там пара незнакомых файлов.

но как это определили ВЫ?

 

...

ждем Вайза или акоКа.

в логе пара нехороших файлов точно есть.

+ еще пару я бы попросил на анализ...

Изменено 20 июня, 2008 пользователем vidocq89

[akoK 138]

JIABP, а зачем тебе 2 AVPTool'a?

[JIABP 222]

akoK, а, службы посмотрели? Да ставил я 2 раза АВПТул, посмотреть что это такое, а удалил как-то криво. Вот службы и остались = (

[vidocq89 27]

JIABP, а зачем тебе 2 AVPTool'a?

да там у него каждой твари по паре))

подобных вопросов можно много задать)) прикольная система вообще)

Лавр ждет скрипт)

[akoK 138]

Лавр ждет скрипт)

Не спеши, Чапай думает.

 

 

Отключаем востановление системы.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetServiceStart('setup_7.0.0.180_18.05.2008_22-36', 4);
SetServiceStart('setup_7.0.0.180_18.05.2008_20-36', 4);
QuarantineFile('D:\WINDOWS\System32\dimsntfy.dll','');
QuarantineFile('D:\WINDOWS\system32\H@tKeysH@@k.DLL','');
QuarantineFile('D:\WINDOWS\system32\gpprefcl.dll','');
DeleteFile('D:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_20-36.exe');
DeleteFile('D:\Documents and Settings\All Users\Рабочий стол\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_22-36.exe');
DeleteFile('D:\WINDOWS\system32\H@tKeysH@@k.DLL');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
DeleteService('setup_7.0.0.180_18.05.2008_20-36');
DeleteService('setup_7.0.0.180_18.05.2008_22-36');
SetAVZGuardStatus(true);
BC_ImportALL;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Логи повторяем

Изменено 20 июня, 2008 пользователем vidocq89

[MiStr 1 597]

Вот тут будет ошибка пути:

 

D:\WINDOWSSystem32\dimsntfy.dll

[akoK 138]

vidocq89, уже поправил.

[vidocq89 27]

Ой.... палюсь...

[JIABP 222]

Спасибо, оба скрипта выполнил, карантин отправил в вирлаб. Жду ответа = ) Спасибо akok, но будет вопрос. Что было в карантине, на Ваш взгляд.

[vidocq89 27]

dimsntfy.dll - вроде виндовый файл (имхо)

H@tKeysH@@k.DLL - ну это видимо ты что-то качал

gpprefcl.dll - а вот это правда по-моему надо было изничтожить

[akoK 138]

H@tKeysH@@k.DLL - RiskWare.CrackTool.Win32.HotHook.dll (что то от кряка)

D:\WINDOWS\system32\gpprefcl.dll - vidocq89 не спеши....есть похожий файл мелкософта.....что то связанное с политиками.

[vidocq89 27]

ну ладно...

ждем ответа вирлаба.

Изменено 20 июня, 2008 пользователем vidocq89