Пустые процессы в AVZ, 2k3sp2

Pili · Отправлено: **18:35, 12-02-2008** | #2

Не хватает ещё одного лога...
При таком кол-ве установленного софта, в т.ч. защитного (McAfee, outpost, TrueCrypt, vmware и пр.) наличие пустых красных процессов для win2k3 нормально. Такое не раз встречалось на virusinfo, я замечал у себя такое при установленном драйвер монитора AVZPM + system safety monitor + антивирус касперского. Попробуйте удалить и выгрузить драйвер расширенного монитора AVZPM (скорее всего он не корректно работает в среде win2k3), перезагрузить комп и провести анализ ещё раз. По выложенным логам в принципе можно проверить некоторые файлы.
выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('I:\WINDOWS\system32\WService.EXE','');
 QuarantineFile('I:\WINDOWS\system32\DRIVERS\ipinip.sys','');
 QuarantineFile('I:\WINDOWS\System32\Drivers\aev11jhc.SYS','');
 QuarantineFile('I:\Program.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, с указанием ссылки на тему в сообщении.

Pili · Отправлено: **09:16, 13-02-2008** | #3

WService.EXE и тот, что отдельно прислали - чистые, остальных файлов нет, остались только следы в рестре
У вас обнаружился в I:\Documents and Settings\Administrator\Desktop\help\hook_full.chm
Trojan.Win32.Agent.adn, Trojan.Win32.Inject.ak, Backdoor.Win32.GrayBird.ma по Касперскому

Цитата:

AhnLab-V3 2008.2.13.11 2008.02.13 -
AntiVir 7.6.0.65 2008.02.12 HEUR/Malware
Authentium 4.93.8 2008.02.13 -
Avast 4.7.1098.0 2008.02.12 Win32:Downloader-LL
AVG 7.5.0.516 2008.02.12 -
BitDefender 7.2 2008.02.13 Win32.Worm.Tusem.A
CAT-QuickHeal None 2008.02.12 -
ClamAV 0.92 2008.02.12 -
DrWeb 4.44.0.09170 2008.02.12 -
eSafe 7.0.15.0 2008.02.11 suspicious Trojan/Worm
eTrust-Vet 31.3.5532 2008.02.12 -
Ewido 4.0 2008.02.12 -
FileAdvisor 1 2008.02.13 -
Fortinet 3.14.0.0 2008.02.13 -
F-Prot 4.4.2.54 2008.02.12 -
F-Secure 6.70.13260.0 2008.02.13 Backdoor.Win32.GrayBird.ma
Ikarus T3.1.1.20 2008.02.13 -
Kaspersky 7.0.0.125 2008.02.13 Trojan.Win32.Agent.adn
McAfee 5228 2008.02.12 -
Microsoft 1.3204 2008.02.12 Trojan:Win32/Agent
NOD32v2 2870 2008.02.12 probably a variant of Win32/Agent
Norman 5.80.02 2008.02.12 -
Panda 9.0.0.4 2008.02.13 Generic Worm
Prevx1 V2 2008.02.13 -
Rising 20.29.22.00 2008.01.30 Trojan.Win32.Agent.adn
Sophos 4.26.0 2008.02.13 Mal/Behav-136
Sunbelt 2.2.907.0 2008.02.13 -
Symantec 10 2008.02.13 -
TheHacker 6.2.9.218 2008.02.12 -
VBA32 3.12.6.0 2008.02.11 Trojan.Win32.Agent.adn
VirusBuster 4.3.26:9 2008.02.12 -
Webwasher-Gateway 6.6.2 2008.02.13 -

выполните скрипт

Код:

begin
 DeleteFile('I:\Documents and Settings\Administrator\Desktop\help\hook_full.chm');
ExecuteSysClean;
end.

Скачайте свежую версию утилиты Kaspersky Virus Removal Tool (AVPTool), установите и, после перезагрузки, запустите автоматическое сканирование всех дисков.
Сделайте заново логи virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip