CODE
Процесс C:\WINDOWS\EXPLORER.EXE (PID: 2728): Процесс пытается внедриться в другой процесс. Такое поведение характерно для некоторых вредоносных программ (Invader)
Full Version: Invader
Каспер заблокировал и удалил експлорер. Вот такая вот ошибка в событиях. Восстанавливаю експлорер, каспер его удаляет опять. Как быть???
выполните правила оказания помощи (ссылка у меня в подписи).
QUOTE(snifer67 @ 6.11.2009 11:35) 
выполните правила оказания помощи (ссылка у меня в подписи).
Выполните скрипт в AVZ
Выполнить скрипт в AVZ.
Сделайте новые логи
CODE
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\syslfs.SYS','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\CMedia', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\CMedia');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\syslfs.SYS','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\CMedia', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\CMedia');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Выполнить скрипт в AVZ.
CODE
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Сделайте новые логи
quarantine.zip получился 32 мб. отправил со ссылкой, надеюсь так можно.
Ответа до сих пор нет. Что делать?
C:\WINDOWS\System32\drivers\syslfs.SYS проверьте на virustotal Ссылку на результат проверки сообщите
Сделайте новые логи
Сделайте новые логи
логи
C:\WINDOWS\System32\drivers\syslfs.SYS упакуйте с паролем virus и отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.
QUOTE
Вредоносный код в файле не обнаружен.
Больше ничего плохого в логах не наблюдается
т.е. это ошибка самого каспера?
Сейчас он так же реагирует???
Возможной причиной внедрения было это
Возможной причиной внедрения было это
CODE
C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll
QUOTE(thyrex @ 13.11.2009 16:33)
Сейчас он так же реагирует???
я добавил explorer в исключения, чтоб больше вообще не реагировал
QUOTE(thyrex @ 13.11.2009 16:33)
Возможной причиной внедрения было это
CODE
C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll
возможно, а что это?
Картинок с рекламой товаров из секшопа не наблюдали у себя? 
QUOTE(thyrex @ 13.11.2009 20:45)
Картинок с рекламой товаров из секшопа не наблюдали у себя?
нет, нема
Уже и не будет
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.