[zirreX]

Здравствуйте!Подготовьте логи AVZ & RSIT в соответствии с инструкциями

[xXx34rus]

А как-то более человеческим языком? Просто не понял я того, что написано в инструкции =(

Начал проверять при помощи AVZ. Нарисовались непонятки:

Что это за записи красным цветом (там, где ещё что-то про перехватчиков) - очень много текста!!!:

Код:

Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->775224B5->7589193A
Функция advapi32.dll:I_QueryTagInformation (1361) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522655->76C972D8
Функция advapi32.dll:I_ScIsSecurityProcess (1362) перехвачена, метод ProcAddressHijack.GetProcAddress ->7752268C->76C9733F
Функция advapi32.dll:I_ScPnPGetServiceName (1363) перехвачена, метод ProcAddressHijack.GetProcAddress ->775226C3->76C97C40
Функция advapi32.dll:I_ScQueryServiceConfig (1364) перехвачена, метод ProcAddressHijack.GetProcAddress ->775226FA->76C95F8A
Функция advapi32.dll:I_ScSendPnPMessage (1365) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522732->76C95E7D
Функция advapi32.dll:I_ScSendTSMessage (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522766->76C971C5
Функция advapi32.dll:I_ScValidatePnPService (1369) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522799->76C96B9D
Функция advapi32.dll:IsValidRelativeSecurityDescriptor (1389) перехвачена, метод ProcAddressHijack.GetProcAddress ->775227D1->7588977E
Функция advapi32.dll:PerfCreateInstance (1515) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522858->74DD2187
Функция advapi32.dll:PerfDecrementULongCounterValue (1516) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522871->74DD2A1D
Функция advapi32.dll:PerfDecrementULongLongCounterValue (1517) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522896->74DD2B3C
Функция advapi32.dll:PerfDeleteInstance (1519) перехвачена, метод ProcAddressHijack.GetProcAddress ->775228BF->74DD2259
Функция advapi32.dll:PerfIncrementULongCounterValue (1522) перехвачена, метод ProcAddressHijack.GetProcAddress ->775228D8->74DD27B9
Функция advapi32.dll:PerfIncrementULongLongCounterValue (1523) перехвачена, метод ProcAddressHijack.GetProcAddress ->775228FD->74DD28D6
Функция advapi32.dll:PerfQueryInstance (1528) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522926->74DD2373
Функция advapi32.dll:PerfSetCounterRefValue (1529) перехвачена, метод ProcAddressHijack.GetProcAddress ->7752293E->74DD2447
Функция advapi32.dll:PerfSetCounterSetInfo (1530) перехвачена, метод ProcAddressHijack.GetProcAddress ->7752295B->74DD20B0
Функция advapi32.dll:PerfSetULongCounterValue (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522977->74DD2565
Функция advapi32.dll:PerfSetULongLongCounterValue (1532) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522996->74DD2680
Функция advapi32.dll:PerfStartProvider (1533) перехвачена, метод ProcAddressHijack.GetProcAddress ->775229B9->74DD1FED
Функция advapi32.dll:PerfStartProviderEx (1534) перехвачена, метод ProcAddressHijack.GetProcAddress ->775229D1->74DD1F34
Функция advapi32.dll:PerfStopProvider (1535) перехвачена, метод ProcAddressHijack.GetProcAddress ->775229EB->74DD2026
Функция advapi32.dll:SystemFunction035 (1753) перехвачена, метод ProcAddressHijack.GetProcAddress ->77522A3C->75243EA8

Хочется отметить, что это далек0_о не все красные надписи про перехват.

Что это?

[zirreX]

Запустите AVZ.Меню "Файл" => "Обновление баз".Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

После выполнения скрипта обязательно перезагрузите компьютер!

Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.


Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[xXx34rus]

Так и сделаю, но прежде хочу сказать, что не обновляется - ошибку какую-то выдаёт.

[xXx34rus]

Прикрепелны следующие файлы (логи):

От 3 скрипта
От 2 скрипта

[xXx34rus]

Вот

http://forum.oszone.net/attachment.p...1&d=1289847215

http://forum.oszone.net/attachment.p...1&d=1289847215

[xXx34rus]

И ещё от RSIT

[zirreX]

Проверьте на www.virustotal.com

C:\Windows\System32\Drivers\ahougwcv.SYS
Дайте ссылку с результатом проверки!

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
SearchRootkkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\System32\Drivers\ahougwcv.SYS','');
QuarantineFile('C:\Users\1\AppData\Local\Temp\jatmlano.sys','');
QuarantineFile('C:\Users\1\AppData\Local\Temp\6B0w9x0B.sys','');
DeleteFile('C:\Users\1\AppData\Local\Temp\6B0w9x0B.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Повторите логи AVZ


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[xXx34rus]

Э-эм - а я не нахожу такого файла в этой директории 0_о

И не только я - даже поиск не находит файл по названию частями или целиком.

Где же тогда ahougwcv.SYS?