Не могу удалит потенциально опасное ПО Invader

[ArchiMAX]

Внедряемый процесс:

C:\WINDOWS\system32\winlogon.exe

ID процесса (PID): 788

 

Попытка внедрения в процесс:

C:\WINDOWS\system32\svchost.exe

ID процесса (PID): 1044

 

обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\system32\winlogon.exe

 

При каждом запуске Windows.Невозможна Завершит и Запретит.Только Пропустит.

Сообщение от модератора Kapral

Удалил карантин

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 19 сентября, 2008 пользователем Kapral

[Олег777]

Обновлены ли у Вас базы антивируса?

вариантов 2: или у Вас это нормальные родные системные процессы, или это маскирующиеся под них вирусы ( с такой ситуацией я недавно сталкивался).

Обновите базы и проведите полную проверку компьютера. Если вирусов не будет обнаружено, то добавьте эти процессы в доверенную зону.

Результат напишите. Жду.

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{A30A9115-7DF6-4BCD-9F60-034FBCF1325E}');
DelBHO('{2089BAAB-2BCD-4558-83C8-09A6DE9AC110}');
QuarantineFile('C:\WINDOWS\system32\Px.ax','');
QuarantineFile('C:\WINDOWS\system32\khfCstSM.dll','');
QuarantineFile('C:\WINDOWS\system32\ljJDUOeB.dll','');
DeleteFile('C:\WINDOWS\system32\Px.ax');
DeleteFile('C:\WINDOWS\system32\ljJDUOeB.dll');
DeleteFile('C:\WINDOWS\system32\khfCstSM.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Повторите логи.

Изменено 19 сентября, 2008 пользователем wise-wistful

[ArchiMAX]

Я обновил его сегодня и провел полную проверку.Нашел 25 вредоносных програм.Trojan,Backdoor и другие.Но немогу обезвредит ПО Invaider сидящий на winlogon.ехе

Это уведомление появляется только при запуске.

[Олег777]

Так... тогда, пожалуй, попробуйте выполнить проверку из Безопасного режима.

Идея в том, что проактивка просто контролирует активность процессов и предупреждает о возникшем подозрении, что какая-то программа или процесс ведут себя "неправильно". В Вашем случае, это подпрограмма входа в Виндовс.

Процесс показался подозрительным, так как, в теории, родные процессы Винды всегда доверенные

Не скромный вопрос: у Вас Винда лицензионная?

Такое может быть, если у Вас "крякнутая" Винда, где в целях обмана проверки подлинности используется подложный вход в систему.

[ArchiMAX]

Вот новые логи после выполнение скриптов.

 

Сообщение от модератора Falcon

Карантин удалил.

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 19 сентября, 2008 пользователем Falcon

[Олег777]

Пожалуйста, пришлите для анализа скриншет запущенных на компьютере процессов из Диспетчера Задач.

[ArchiMAX]

Диспетчер Задач

Изменено 19 сентября, 2008 пользователем ArchiMAX

[Олег777]

Ничего страшного в процессах не увидел. если у вас честная лицензионная Винда, то Вы можете добавить эти процессы в доверенную зону.

но перед этим не поленитесь все-таки выполнить полную проверку компьютера - пара процессов все-таки у вас из зоны риска...

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
ClearQuarantine;	
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{2AC745D5-25F1-46C4-8D3C-9BFD43B87386}');
QuarantineFile('C:\WINDOWS\system32\CodecBHO.dll','');
DeleteFile('C:\WINDOWS\system32\CodecBHO.dll');
BC_ImportALL;	
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');	
RebootWindows(true);
end.

 

Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите.

 

Логи повторить.

 

P.S. Invader-это вердикт проактивной защиты,который говорит нам о внедрении одного процесса в другой или какая-то dll внедряется в адресное пространтсво чужого процесса,это не обязательно плохо

[Falcon]

ArchiMAX

На будущее - файл cure.zip цеплять не нужно, ибо это есть ни что иное, как карантин, полученный в результате работы AVZ, который может содержать вредоносные файлы.

[ArchiMAX]

На будущее - файл cure.zip цеплять не нужно, ибо это есть ни что иное, как карантин, полученный в результате работы AVZ, который может содержать вредоносные файлы.

 

OK.

[Falcon]

Ответ из вирлаба пришел?

[ArchiMAX]

А почему KIS с последними обновлениями не видеть файл Antivirus2009 как вирусом.

[Falcon]

А почему KIS с последними обновлениями не видеть файл Antivirus2009 как вирусом.

Что за файл?

Ответ из вирлаба пришел?