Digeste.dll плодит трояны

[akoK 138]

Запустите regedit

Найдите ключ HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

В ней параметр alkmbjmv и удалите этот параметр, щелкнув правой кнопкой мыши и выбрав соответствующий пункт

Лог HiJack с Вас еще раз

хорошо делаем так:

Открываете нужный путь и кликаете на той "папке" где запрещен доступ правой клавишей: выбрать "Разрешения"

 

Привести права в вид:

 

Скрины сделаны для лучшего понимания действий.

[Rosman-kr 0]

Да, картинки конечно хорошие только это все я уже делал к параметру alkmbjmv чтобы я не пытался изменять пишет одно в доступе отказано т.к. с какого-то перепуга эта папка (далеко не первая) имеет родительский объект т.е. сама по себе и живет своей жизнью доступ я к ней получаю только особого разрешения который не активен, а вот дальше что-то изменить посто нереально, я уже делал доступы и в самых корневый ветках в самой Локал Машин с унаследством параметров вот только нашей папке это унаследование до одного места, может есть какая утилита которая удаляет данные из реестре какбы на прямую, без всякого доступа?

Изменено 25 марта, 2009 пользователем Rosman-kr

[akoK 138]

LiveCD - может.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\pdnoclps.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\pdnoclps.sys');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

 

Включите AVZPM и повторите логи AVZ.

Изменено 26 марта, 2009 пользователем akoK

[Rosman-kr 0]

Я извеняюсь, но LiveCD у меня нет а в его создании я не силен, или это идет речь об установочном диске?

И второй вопрос скрипт в AVZ делать после того как я загружусь с LiveCD или до загрузки (на битой винде)? и я проверил pdnoclps.sys' на вирустотал.ком он чистый зачем его скриптить, на напишите пожалуйста подробней непонятно!

 

Сообщение от модератора wise-wistful

Убрал цитирование, мешает читать

Изменено 26 марта, 2009 пользователем wise-wistful

[ТроПа 92]

Скрипт нужно выполнять на машине, а не при загрузке с LiveCD.

 

и я проверил pdnoclps.sys' - ссылку дайте на результат проверки, и запакуйте его в архив под пароль и отправьте на адрес newvirus@kaspersky.com В письме укажите пароль на архив. Напишите найдут там что-то вирусные аналитики или нет.

[Rosman-kr 0]

Скрипт нужно выполнять на машине, а не при загрузке с LiveCD.

 

и я проверил pdnoclps.sys' - ссылку дайте на результат проверки, и запакуйте его в архив под пароль и отправьте на адрес newvirus@kaspersky.com В письме укажите пароль на архив. Напишите найдут там что-то вирусные аналитики или нет.

 

Отправил вот что получил:

Здравствуйте,

 

pdnoclps.sys

 

Вредоносный код в файле не обнаружен.

 

Так что делать?

[akoK 138]

Так что делать?

вот чего.

Включите AVZPM и повторите логи AVZ.

[Rosman-kr 0]

AVZPM вкл. вот логи

virusinfo_syscure.zip

virusinfo_syscheck.zip

[akoK 138]

C:\WINDOWS\system32\drivers\pdnoclps.sys - ну ненравится он

Это единственное к чему я сейчас могу придраться.

[Rosman-kr 0]

C:\WINDOWS\system32\drivers\pdnoclps.sys - ну ненравится он

Это единственное к чему я сейчас могу придраться.

 

ОК Скрипт сделал. Карантин зип еще нужен или нет?

[akoK 138]

давайте посмотри что там.

 

И логи повторите.

[Rosman-kr 0]

Хм, quarantine.zip получается пустым, а логи вот они и самое приятное наконец удалился этот заблокированный ключ из реестра

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 27 марта, 2009 пользователем Rosman-kr