[Pili]

Сохраните тект ниже как fix.reg и примените

Код:

REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d39e15ec-1177-11dd-8a49-0019dbf7c0c1}]

проверьте на virustotal.com файлы

Цитата:

C:\Windows\System32\appdrvrem01.exe C:\Windows\system32\Drivers\appdrv01.sys C:\Windows\system32\drivers\anwsneki.sys

Рез-ты проверки скопируйте в следующее сообщение.

[twisted1]

Цитата Pili:

проверьте на virustotal.com файлы »

а че там делать надо, и как??

[Pili]

twisted1, заходите на http://www.virustotal.com/ru/, нажимаете кн. "Обзор" выбираете файл, нажимаете кн. "Отправить файл", после завершения сканирования выделяете мышкой табл., копируете (ctrl+C), вставляете в сообщение (ctrl+V), можете заключить вставляемый текст в тег [code] Если возникнут затруднения, можете выполнить в AVZ скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\system32\drivers\anwsneki.sys','');
 QuarantineFile('C:\Windows\system32\Drivers\appdrv01.sys','');
 QuarantineFile('C:\Windows\System32\appdrvrem01.exe','');
BC_ImportQuarantineList;
BC_Activate;
BC_QrFile('C:\Windows\system32\drivers\anwsneki.sys');
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему

[twisted1]

Pili, когда я выбираю файлы уже на сайте то их не видно, а когда я просто поиском пользуюсь то нахожу их.
можно их просто скачать на десктоп, и загрузить на саит или есть другое решение??

[Pili]

Цитата twisted1:

можно их просто скачать на десктоп, и загрузить на саит »

Можно, а можно и в любую другую папку скопировать (создать и назвать напр. quarantine), проверьте атрибуты этих файлов в созданной папке, если они скрытые или системные - можете снять эти атрибуты

[twisted1]

Pili, а с этого сайта нужны результаты или что, какая инфа оттуда нужна??
(C:\Windows\system32\drivers\anwsneki.sys) + этого файла нету.

[Pili]

Цитата Pili:

заходите на http://www.virustotal.com/ru/, нажимаете кн. "Обзор" выбираете файл, нажимаете кн. "Отправить файл", после завершения сканирования выделяете мышкой табл., копируете (ctrl+C), вставляете в сообщение (ctrl+V), можете заключить вставляемый текст в тег [code] »

или выполните скрипт и пришлите карантин

[twisted1]

Pili, так у меня же AVZ не работает!!?? но все равно порпобую, можно подробнее как скрипт сделать??
и что насчет файла которого не найти??

[Pili]

Цитата twisted1:

C:\Windows\system32\drivers\anwsneki.sys) + этого файла нету. »

Попробуйте поискать В AVZ - сервис-поиск файлов на диске, там же, если найдутся файлы, можно нажать кн. добавить в карантин

Цитата twisted1:

как скрипт сделать? »

В AVZ - файл - выполнить скрипт – выделить и скопировать текст в окно выполнения скрипта AVZ и нажать кнопку «Запустить».

[twisted1]

Цитата Pili:

Попробуйте поискать В AVZ - сервис-поиск файлов на диске »

поиск ничего не дал, не нашел, а скрипт повис.

appdrv01.sys

Код:

Антивирус Версия Обновление Результат 
AhnLab-V3 2008.9.19.0 2008.09.19 - 
AntiVir 7.8.1.34 2008.09.18 - 
Authentium 5.1.0.4 2008.09.19 - 
Avast 4.8.1195.0 2008.09.18 - 
AVG 8.0.0.161 2008.09.18 - 
BitDefender 7.2 2008.09.19 - 
CAT-QuickHeal 9.50 2008.09.19 - 
ClamAV 0.93.1 2008.09.19 - 
DrWeb 4.44.0.09170 2008.09.19 - 
eSafe 7.0.17.0 2008.09.18 - 
eTrust-Vet 31.6.6091 2008.09.16 - 
Ewido 4.0 2008.09.18 - 
F-Prot 4.4.4.56 2008.09.19 - 
F-Secure 8.0.14332.0 2008.09.19 - 
Fortinet 3.113.0.0 2008.09.19 - 
GData 19 2008.09.19 - 
Ikarus T3.1.1.34.0 2008.09.19 - 
K7AntiVirus 7.10.461 2008.09.18 - 
Kaspersky 7.0.0.125 2008.09.19 - 
McAfee 5387 2008.09.18 - 
Microsoft 1.3903 2008.09.19 - 
NOD32v2 3453 2008.09.18 - 
Norman 5.80.02 2008.09.18 - 
Panda 9.0.0.4 2008.09.19 - 
PCTools 4.4.2.0 2008.09.18 - 
Prevx1 V2 2008.09.19 - 
Rising 20.62.40.00 2008.09.19 - 
Sophos 4.33.0 2008.09.19 - 
Sunbelt 3.1.1647.1 2008.09.18 - 
Symantec 10 2008.09.19 - 
TheHacker 6.3.0.9.087 2008.09.18 - 
TrendMicro 8.700.0.1004 2008.09.19 - 
VBA32 3.12.8.5 2008.09.18 - 
ViRobot 2008.9.19.1382 2008.09.19 - 
VirusBuster 4.5.11.0 2008.09.18 - 
Webwasher-Gateway 6.6.2 2008.09.19 - 
Дополнительная информация 
File size: 2639976 bytes 
MD5...: 0acb605522fd0a6c85fa3149ce4621e3 
SHA1..: 13f865a61b5de1a5400d01237bb2e26f689bb08a 
SHA256: 524dc20277db946c66d2c6ee1dce2c9e7dcf52b408eb1e09b7961b1dc3f73e90 
SHA512: 4f173e2c8ba168bee2bf60e847521070c605fe38e0a81153ce2a80e2b6ff64f3
5caada99ba3604441d1340e4c5f4b8d6a6f4950130601560957b95833bba2881 
PEiD..: - 
TrID..: File type identification
Win64 Executable Generic (95.5%)
Generic Win/DOS Executable (2.2%)
DOS Executable Generic (2.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x295664
timedatestamp.....: 0x486894f6 (Mon Jun 30 08:10:30 2008)
machinetype.......: 0x8664 (AMD64)

( 10 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x12b0 0x1400 5.99 41c028e0f850dcd608abce524a5c7a71
.rdata 0x3000 0x8c8 0xa00 4.33 b7dafe4707a36e75b0b3587b3458a0a7
.data 0x4000 0x78c 0x200 0.36 5cc6b015e135c343b9199383fd0c4e7d
.pdata 0x5000 0x594 0x600 4.58 93e3f81c6afe8b492c49768a41efedd0
PAGECORE 0x6000 0x25b910 0x25ba00 7.08 db70bf595390eb8f1b9e0c5f2b06f362
PAGE 0x262000 0x568c 0x5800 6.28 0d56add2a08b528ad5cf8bfd75a315dc
PAGEFS 0x268000 0x1ba80 0x1bc00 6.49 ce3f4f7acd6b13e8899f87470f5ba9d1
INIT 0x284000 0x2c94 0x2e00 5.50 6e68fa11c2a32b26540c5bbadc833bf6
.rsrc 0x287000 0x580 0x600 3.19 7a4bd09f1c8e2dada6c9a441d91f1bd0
.reloc 0x288000 0x18 0x200 0.16 5978b3b301d656decade34535713da54

( 1 imports ) 
> ntoskrnl.exe: PsGetVersion, MmGetSystemRoutineAddress, MmUserProbeAddress, ExRaiseAccessViolation, ExAllocatePoolWithTag, ExFreePoolWithTag, NlsMbOemCodePageTag, RtlxAnsiStringToUnicodeSize, RtlAnsiStringToUnicodeString, RtlUpperChar, RtlUpcaseUnicodeChar, ZwCreateEvent, ObReferenceObjectByHandle, ExEventObjectType, ObfDereferenceObject, ZwClose, KeSetEvent, KeEnterCriticalRegion, KeLeaveCriticalRegion, KeInitializeEvent, KeWaitForSingleObject, ZwOpenSymbolicLinkObject, ZwQuerySymbolicLinkObject, ZwCreateFile, ZwQueryInformationFile, ZwReadFile, ZwWriteFile, ZwDeleteFile, ZwCreateKey, ZwOpenKey, ZwFlushKey, ZwEnumerateKey, ZwDeleteKey, ZwQueryValueKey, ZwSetValueKey, RtlQueryRegistryValues, ZwDeleteValueKey, ExAcquireFastMutexUnsafe, ExReleaseFastMutexUnsafe, ZwQuerySystemInformation, MmSystemRangeStart, IoBuildDeviceIoControlRequest, IofCallDriver, KeDelayExecutionThread, IoAllocateWorkItem, IoFreeWorkItem, KeCancelTimer, KeClearEvent, KeSetTimer, IoQueueWorkItem, KeInitializeTimer, KeInitializeDpc, IofCompleteRequest, IoCreateDevice, IoCreateSymbolicLink, IoRegisterShutdownNotification, IoUnregisterShutdownNotification, IoDeleteSymbolicLink, IoDeleteDevice, IoGetDeviceObjectPointer, MmProbeAndLockPages, ExInitializeNPagedLookasideList, ExpInterlockedPopEntrySList, ExpInterlockedPushEntrySList, ExQueryDepthSList, ExDeleteNPagedLookasideList, MmLockPagableDataSection, MmUnlockPagableImageSection, KeStackAttachProcess, KeUnstackDetachProcess, IoGetCurrentProcess, ObfReferenceObject, IoReleaseCancelSpinLock, ZwLoadDriver, KeBugCheckEx, __C_specific_handler

( 0 exports ) 
 
packers (F-Prot): embedded

appdrvrem01.exe

Код:

Антивирус Версия Обновление Результат 
AhnLab-V3 2008.9.19.2 2008.09.22 - 
AntiVir 7.8.1.34 2008.09.22 - 
Authentium 5.1.0.4 2008.09.22 - 
Avast 4.8.1195.0 2008.09.22 - 
AVG 8.0.0.161 2008.09.22 - 
BitDefender 7.2 2008.09.22 - 
CAT-QuickHeal 9.50 2008.09.20 - 
ClamAV 0.93.1 2008.09.22 - 
DrWeb 4.44.0.09170 2008.09.22 - 
eSafe 7.0.17.0 2008.09.22 - 
eTrust-Vet 31.6.6099 2008.09.22 - 
Ewido 4.0 2008.09.22 - 
F-Prot 4.4.4.56 2008.09.21 - 
F-Secure 8.0.14332.0 2008.09.22 - 
Fortinet 3.113.0.0 2008.09.22 - 
GData 19 2008.09.22 - 
Ikarus T3.1.1.34.0 2008.09.22 - 
K7AntiVirus 7.10.467 2008.09.22 - 
Kaspersky 7.0.0.125 2008.09.22 - 
McAfee 5388 2008.09.19 - 
Microsoft 1.3903 2008.09.22 - 
NOD32v2 3459 2008.09.22 - 
Norman 5.80.02 2008.09.19 - 
Panda 9.0.0.4 2008.09.22 - 
PCTools 4.4.2.0 2008.09.22 - 
Prevx1 V2 2008.09.22 - 
Rising 20.63.02.00 2008.09.22 - 
Sophos 4.33.0 2008.09.22 - 
Sunbelt 3.1.1653.1 2008.09.20 - 
Symantec 10 2008.09.22 - 
TheHacker 6.3.0.9.090 2008.09.20 - 
TrendMicro 8.700.0.1004 2008.09.22 - 
VBA32 3.12.8.5 2008.09.22 - 
ViRobot 2008.9.22.1387 2008.09.22 - 
VirusBuster 4.5.11.0 2008.09.22 - 
Webwasher-Gateway 6.6.2 2008.09.22 - 
Дополнительная информация 
File size: 538000 bytes 
MD5...: b3a553c4a9e5976a617a29a55568295e 
SHA1..: 240080d140751c38de1fe1286589a36428726a05 
SHA256: 6d40c4861645bfe01b542a70fa90111fbbb830cef242d4cc0f840c88537e5397 
SHA512: 08cfb0c83cf4f8d8e6eedf0273d9c1cc07054bbec8aa6529a41ad9f9e6c34c13
0a12a297c9e7b8898585a9ac913af85870cc31a0829c99f3d1af6ccfe63bd878 
PEiD..: - 
TrID..: File type identification
Win64 Executable Generic (95.5%)
Generic Win/DOS Executable (2.2%)
DOS Executable Generic (2.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x430a90
timedatestamp.....: 0x48689503 (Mon Jun 30 08:10:43 2008)
machinetype.......: 0x8664 (AMD64)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4affc 0x4b000 6.08 acf18d912aaabe1434e105442b7e88d0
.rdata 0x4c000 0x27db4 0x27e00 4.51 4ed0d992cd0af8737ca0b2d47e9b6925
.data 0x74000 0x5cb0 0x4a00 4.26 d56941f16660159e09ecc6c9367b47f7
.pdata 0x7a000 0x9c54 0x9e00 5.38 15e6502464570f3081077e7d3ad23ac6
.rsrc 0x84000 0x4c8 0x600 2.89 1c972d1e3f0f6340a2fe6431f654763b

( 4 imports ) 
> VERSION.dll: GetFileVersionInfoW, VerQueryValueA, GetFileVersionInfoSizeW
> KERNEL32.dll: GetVersionExW, LoadLibraryA, CreateFileA, CreateFileW, GetModuleFileNameA, CreateFileMappingA, CreateFileMappingW, CreateMutexA, CreateMutexW, GetSystemDirectoryA, GetSystemDirectoryW, GetWindowsDirectoryA, GetWindowsDirectoryW, GetDriveTypeW, FindFirstFileA, FindFirstFileW, GetEnvironmentVariableA, GetEnvironmentVariableW, GetModuleHandleW, CreateProcessA, CreateProcessW, GetFileAttributesA, GetFileAttributesW, SetFileAttributesA, GetVersionExA, DeleteFileA, DeleteFileW, LocalAlloc, FormatMessageA, FormatMessageW, GetCPInfo, WideCharToMultiByte, FindClose, GetFileSize, WriteFile, SetFileTime, MapViewOfFile, UnmapViewOfFile, DeviceIoControl, Sleep, AreFileApisANSI, GetOEMCP, GetACP, SleepEx, WaitForMultipleObjectsEx, ReleaseMutex, GetExitCodeProcess, WaitForSingleObject, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, RtlVirtualUnwind, LCMapStringA, GetSystemTimeAsFileTime, GetCurrentProcessId, QueryDosDeviceW, GetFullPathNameW, SetLastError, LocalFree, LoadLibraryW, GetCurrentProcess, GetSystemTime, SystemTimeToFileTime, FreeLibrary, CloseHandle, LCMapStringW, MultiByteToWideChar, GetModuleHandleA, GetProcAddress, GetTickCount, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, GetLastError, GetCommandLineW, SetFileAttributesW, QueryPerformanceCounter, GetFileType, SetHandleCount, HeapAlloc, HeapFree, RtlLookupFunctionEntry, RtlUnwindEx, HeapReAlloc, RaiseException, RtlPcToFileHeader, GetCommandLineA, GetProcessHeap, GetStartupInfoA, HeapSize, HeapValidate, ExitProcess, GetStdHandle, HeapSetInformation, HeapCreate, FlsGetValue, FlsSetValue, TlsFree, FlsFree, GetCurrentThreadId, FlsAlloc, UnhandledExceptionFilter, SetUnhandledExceptionFilter, RtlCaptureContext, TerminateProcess, IsDebuggerPresent, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW
> USER32.dll: MessageBoxA, MessageBoxW
> ADVAPI32.dll: RegCloseKey, QueryServiceStatus, ControlService, DeleteService, CloseServiceHandle, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, RegQueryValueExW, RegQueryValueExA, RegDeleteValueW, RegSetValueExW, RegSetValueExA, RegEnumKeyExW, RegDeleteKeyW, RegOpenKeyExW, RegOpenKeyExA, RegCreateKeyExW, RegisterServiceCtrlHandlerW, StartServiceCtrlDispatcherW, StartServiceW, ChangeServiceConfigW, QueryServiceConfigW, CreateServiceW, OpenServiceW, OpenSCManagerW, SetServiceStatus

( 0 exports )

третий файл не найти.