Zлобный ЁжЫk, CarberPВосстановление системы отключать НЕ НУЖНО!!!
Здравствуйте,неизвестное устройство - это от драйвера расширенного мониторинга AVZ. Можете просто удалить из диспетчера устройств, оно больше не появится.QUOTEИ еще хотел спросить на будущее, в каком режиме лучше запускать антивирусы вообще и AVZ в частности, в обычном или в SafeMode? И нужно ли отключать восстановление системы перед проверкой?Обычно хватает запуска и в обычном режиме. В безопасном запускают в редких случаях.Главное, на Windows Vista/7 запускать утилиту правой кнопкой - запуск от имени администратора.Об остальном ответят хелперы.
ОК. А что насчет: 1.1 Поиск перехватчиков API, работающих в UserMode Функция ntdll.dll:LdrLoadDll (122) перехвачена, метод APICodeHijack.JmpTo[30781F16] 1.4 Поиск маскировки процессов и драйверов Маскировка процесса с PID=476, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 476) ... Маскировка процесса с PID=3240, имя = "" >> обнаружена подмена PID (текущий PID=0, реальный = 3240) 1.5 Проверка обработчиков IRP \FileSystem\ntfs[IRP_MJ_CREATE] = 841491F8 -> перехватчик не определен ... \FileSystem\FastFat[IRP_MJ_PNP] = 84E391F8 -> перехватчик не определенМожно проигнорировать?И еще хотел спросить на будущее, в каком режиме лучше запускать антивирусы вообще и AVZ в частности, в обычном или в SafeMode? И нужно ли отключать восстановление системы перед проверкой?Да и вот еще проблема, когда выходил из программы, забыл отключить модуль AVZGuard, и теперь всякий раз после перезагрузки наблюдаю сообщение о необходимости установки драйвера для какого-то "Неизвестного устройства".Как от него избавиться?P.S. Кстати у Вас в подписи не работает ссылка на "Удаление остатков антивирусных продуктов" :)
CODEC:\Users\Olga\AppData\Roaming\igfxtray.datC:\Users\Olga\AppData\Roaming\MicroSTудалите вручнуюСмените все паролиНа этом все
Сделал. И еще провел полную проверку всего диска на дефолтных и максимальных настройках. Выкладываю логи с файлами карантина. Кстати, я ему (AVZ) еще в Downloads папку с вирусом Carberp подкинул, чтоб потом выбрать эвристическое удаление, т.к. CureIt! оставил кучу ошметков от вируса на диске и вероятно в реестре тоже, но он почему-то на него никак не отреагировал (uVS в отличие от AVZ пометил файл вируса, как подозрительный). И еще почему-то ни одна программа из использованных не нашла папку \AppData\Roaming\MicroST, а в ней тоже ошметки от Carperp'а валяются (файлы типа Dat5B3E.tmp.xsi). ComboFix ее вроде находит, но я его пока не запускал (там все на автомате, стремно как-то). И почему-то RSIT использовал какой-то свой модифицированный HiJack (отличается размером на несколько байт), хотя у меня был установлен нормальный с сайта Trend Micro.
Дополнительно:Есть два симптома неправильной работы Windows:1. Не запускается (не запускался) chkdsk при загрузке винды. Команду chkntfs /D выполнял, файлы chk*.exe и autochk.exe не повреждены. Том всю дорогу был помечен, как грязный, но проверка не запускалась. Странно, но после первого же запуска AVZ и установки драйвера AVZPM с перезагрузкой, проверка пошла (включал еще AVZGuard на несколько секунд, если это имело значение), хотя до этого что только ни делал, не запускалась ни в какую.2. Не очищаются журналы событий, появляется сообщение об ошибке: "Приложению "Просмотр событий" не удалось очистить журнал. Возникла следующая ошибка: Параметр задан неверно."А журнал "Система" не протоколирует события аж с 2010 года, хотя он включен, как и остальные.Ну и тормозит всё жестоко. Даже курсор от мышки иногда не передвинуть. Подозрение по первому симптому было на руткит или буткит, но сейчас оно вроде как отпало. Тем не менее, чтобы быть уверенным до конца сделал на всякий случай проверку AVZ.Кстати, в логах есть сообщения о включенных авторанах и отправке приглашений Удаленному Помощнику (так же, как и в Kaspersky Virus Removal Tool), но и то и другое (особенно другое) у меня отключено (галочка в соответствующем окошке снята). Правда слышал, что в Vista Home Basic SP1 есть какая-то проблема с полным отключением авторанов, поэтому планирую отключить их после установки SP2.Ещё два файла в системных папках изменились в одно время с появлением вируса (проверял по датам создания и изменения):AppData\Roaming\Miсrosoft\SystemCertificates\My\Certificates\6590FDE455BF4EC8967C985E1FA1AB6F05C699CA иProgramData\Microsoft\Crypto\RSA\MachineKeys\fdb577802f83216f519e643677820534_7c18f778-1bee-4333-aeaf-9fa7d8dae8d2Антивирусы в них ничего не находят, но есть все-таки какое-то подозрение, что вирус мог там чего-нибудь напортачить. О предназначении этих файлов мне к сожалению ничего не известно.
Здравствуйте!Поймал вирус Trojan.DownLoader5.43515/Trojan.Carberp.30 (Trojan-Spy.Win32.Carberp.djz/Trojan.Script.Carberp.a по версии KAV). Удалил с помощью CureIt. Kaspersky Virus Removal Tool после него ничего не нашел. Malwarebytes Anti-Malware удалил два хвоста от Carberp (igfxtray.dat и ieunitdrf.inf) и пофиксил в реестре две строчки: Trojan.Fkantakte HKCU\SOFTWARE\Vkontakte Hijack.LanmanServer HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters|ServiceDll -> Плохо: (%CommonProgramFiles%\msdao23.tlc) Хорошо: (%SystemRoot%\System32\srvsvc.dll)uVS обнаружил: (!) Обнаружен сплайсинг: LdrLoadDll IPL NTFS [C:]: Неизвестный загрузчик SHA1: 22EB98F1958025FB41D10EEA183FBC54D6A9FB84Разработчик сказал, что всё ОК. Провожу последние проверки перед установкой Vista SP2. Просьба расшифровать логи.
Kaspersky Lab Forum > Проверка AVZ на предмет скрытых вирусов
Комментариев нет:
Отправить комментарий