Fasawe Опубликовано 15 апреля, 2009 Опубликовано 15 апреля, 2009 Прилагаю скриншот(если не справлюсь - выложу логи, ну и так и быть отправлю на newvirus): Второй скрин - ошибка при попытке остановки:
skoworodker Опубликовано 15 апреля, 2009 Опубликовано 15 апреля, 2009 так вроде на первом скрине он и не запущен
Fasawe Опубликовано 15 апреля, 2009 Автор Опубликовано 15 апреля, 2009 так вроде на первом скрине он и не запущен Но и не рубается даже в безопасном режиме под локальным админом - пишет "Отказано в доступе". Важно то, что служба написана специально против Каспера и последний с полными базами её не засекает.
sergtask Опубликовано 15 апреля, 2009 Опубликовано 15 апреля, 2009 если не справлюсь - выложу логи В любом случаи выложи, и расскажи. интересно...
Fasawe Опубликовано 15 апреля, 2009 Автор Опубликовано 15 апреля, 2009 (изменено) В любом случаи выложи, и расскажи. интересно... Логи ниже, а вот предварительная версия скрипта: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Documents and Settings\savchenko\31550.exe',''); QuarantineFile('C:\Documents and Settings\savchenko\84613.exe',''); QuarantineFile('C:\WINDOWS\system32\acluie.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); DeleteService('yjpkkqtgy'); DeleteService('RT73'); DeleteService('wscsvcRpcSs'); DeleteService('WMPNetworkSvcose'); DeleteService('ThemesERSvc'); DeleteService('TermServiceSysmonLog'); DeleteService('SysmonLogwscsvc'); DeleteService('SSDPSRVWebClient'); DeleteService('SpoolerWMPNetworkSvc'); DeleteService('SpoolerLmHosts'); DeleteService('SharedAccessTlntSvr'); DeleteService('seclogonRpcSs'); DeleteService('seclogonmnmsrvc'); DeleteService('seclogon LM Service'); DeleteService('RemoteRegistryDnscache'); DeleteService('RDSessMgrWmi'); DeleteService('NtLmSsplanmanworkstation'); DeleteService('NlaMSIServerSSDPSRV'); DeleteService('NlaMSIServer'); DeleteService('NlaANIWZCSdService'); DeleteService('mnmsrvcSysmonLogwscsvc'); DeleteService('mnmsrvcstisvc'); DeleteService('HidServwscsvcRpcSs'); DeleteService('EventSystemCiSvc'); DeleteService('DnscacheDcomLaunch'); DeleteService('aspnet_statewinmgmt'); DeleteService('ALGALG'); DeleteService('AlerterRSVP'); DeleteService('AdobeNetlogon'); DeleteService('AdobeMSDTC'); DelBHO('{7FED228E-A6F7-49aa-A0BC-76E0A67C53BB}'); DeleteFile('C:\WINDOWS\system32\acluie.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\Documents and Settings\savchenko\84613.exe'); DeleteFile('C:\Documents and Settings\savchenko\31550.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end. Мне всё ещё не дает покоя файл со второго скрина - atmsgdlg.dll... Видимо придется дописывать скрипт на месте исходя из увиденного. Кстати, вот этот самый acluie.exe - известный вирус и Каспер его не ловит. Файл карантина в случае удачного лечения вышлю адресату %) Между прочим удивительно, что АВЗ не увидел сервис, "управляющий" Каспером hijackthis.log virusinfo_syscheck.htm Изменено 15 апреля, 2009 пользователем Fasawe
skoworodker Опубликовано 15 апреля, 2009 Опубликовано 15 апреля, 2009 вопрос не в тему: как быстро (есть ли сроки) должны отвечать на письма newvirus(at)kaspersky.com ? я отсылал новые вирусы раз 5, а вот последний раз уже больше недели неотвечают. архивчик с вирусами тоже досихпор не детектится
ТроПа Опубликовано 17 апреля, 2009 Опубликовано 17 апреля, 2009 Между прочим удивительно, что АВЗ не увидел сервис, "управляющий" Каспером Лог после стандартного скрипта 3 нужно было посмотреть, а не после 2.
Fasawe Опубликовано 17 апреля, 2009 Автор Опубликовано 17 апреля, 2009 Лог после стандартного скрипта 3 нужно было посмотреть, а не после 2. Лог 3 подразумевает длительную проверку. Увы, но это неприемлемо в условиях работы.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти