31.10.2010, 09:21 | #1 (ссылка) |
Новичок
Регистрация: 31.10.2010
Сообщений: 3
Репутация: 0
|
Скрипт проверки AVZ и log HiJackThis
Согласно инструкции http://pchelpforum.ru/f26/t6442/#post37758 даю ссылку на скрипт AVZ http://exfile.ru/134615 и HiJackThis http://exfile.ru/134619
Проблема была вот в чем: Security Task Manager указал на опасность в файле comctl32.dll, после удаления его и перезагрузки ПК. Почти все процессы и ПО кроме антивируса(KIS8) начали выдавать отсутствие этого файла. Файл скачал с DLL.ru, STM стал указывать на угрозу в других файлах. Заранее благодарен. Последний раз редактировалось HB-Raven; 31.10.2010 в 09:33. |
31.10.2010, 09:51 | #2 (ссылка) | |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
Цитата:
Сделайте такой лог http://pchelpforum.ru/showpost.php?p=206554&postcount=5 |
|
31.10.2010, 11:33 | #3 (ссылка) |
Новичок
Регистрация: 31.10.2010
Сообщений: 3
Репутация: 0
|
Проверка mbam
Проверка выдала 3 объекта я их удалил. Здесь лог http://exfile.ru/134626. В SecurityTM снова появился comres.dll опять со странным значком и еще знак '? это может быть касперский'. В принципе вот PrtSc http://exfile.ru/134627
|
31.10.2010, 11:53 | #4 (ссылка) | |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
Ну это ложное срабатывание. Можно было их и не удалять. Но это не критично.
Цитата:
|
|
31.10.2010, 12:45 | #5 (ссылка) |
Новичок
Регистрация: 31.10.2010
Сообщений: 3
Репутация: 0
|
Спасибо большое. Я нашел решение
Файлы, наиболее часто создаваемые или модифицируемые вредоносными программами
Если файл из представленного рейтинга присутствует на вашем компьютере, это не обязательно означает заражение, и не спешите его удалять! Часто вредоносные программы только видоизменяют легальные файлы программ, как например, файл HOSTS. Этот файл всегда присутствует в операционных системах семейства Windows, однако, вредоносные программы любят изменять его содержание, чтобы блокировать работу антивирусных средств, для показа рекламы и т.д. В следующих выпусках мы рассмотрим использование файла HOSTS вредоносными программами, а сейчас остановимся подробней на файле mmsfc1.dll, оказавшемся на 1-й позиции в нашем рейтинге. Этот файл создается в системном каталоге Windows (обычно, C:\Windows\System32\mmsfc1.dll) вредоносными программами, относящимися к рассмотренному ранее классу Trojan-GameThief. Как видно из рисунка, название файла подобрано таким образом, что он выглядит как обычный системный файл, каких много в указанном каталоге. На самом же деле этот файл является копией другого системного файла %System%\sfc_os.dll. Файл sfc_os.dll является частью механизма защиты файлов Windows (WFP, Windows File Protection), который защищает наиболее важные системные файлы Windows от удаления или изменения. Опишем теперь последовательность действий вредоносной программы при ее запуске: 1. Копирует файл C:\WINDOWS\system32\sfc_os.dll под новым именем C:\WINDOWS\system32\mmsfc1.dll. 2. Запускает файл C:\WINDOWS\system32\mmsfc1.dll и использует один из методов обхода технологии WFP. 3. Перемещает системный файл C:\WINDOWS\system32\comres.dll в C:\WINDOWS\system32\sysgth.dll. 4. Подменяет оригинальный файл C:\WINDOWS\system32\comres.dll своей компонентой с тем же именем. В процессе работы библиотека C:\WINDOWS\system32\comres.dll загружает библиотеку C:\WINDOWS\system32\sysgth.dll (под этим файлом была сохранена копия стандартной системной библиотеки Windows) и импортирует одну- единственную функцию COMResModuleInstance. Вредоносная компонента в списке экспорта тоже имеет функцию COMResModuleInstance. Причина такого устройства проста. Теперь, если какой-либо программе понадобится функция COMResModuleInstance, то вредоносная компонента передаст указатель на оригинальную функцию, которая теперь находится в файле C:\WINDOWS\system32\sysgth.dll. Таким образом, описанная подмена файлов никак не скажется на работе операционной системы Windows. Зачем же нужен этот маскарад? Подмена вредоносной программой системного файла осуществляется для того, чтобы данная вредоносная программа загружалась каждый раз при загрузке операционной системы Windows, т.к. библиотека comres.dll используется другими компонентами Windows. Такой нестандартный способ автозапуска существенно затрудняет обнаружение присутствия вредоносной программы в системе. |
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Пож посмотрите рез проверки AVZ | yrij | Безопасность | 11 | 14.12.2010 00:41 |
Результат проверки AVZ | grimyss | Безопасность | 5 | 12.12.2010 21:00 |
Гляньте плиз результаты проверки AVZ | Санёк123 | Безопасность | 2 | 11.12.2010 12:34 |
Последствия проверки винды на лицензию | GreatOrlangur | Windows XP | 6 | 08.12.2010 21:42 |
не загружается после POST проверки | Ramzess | Неисправности, настройка | 2 | 20.11.2010 00:44 |
Результат проверки HiJackThis | Автошкола | Программы | 15 | 07.10.2010 11:38 |
Результат проверки HDD | cmpax | Неисправности, настройка | 3 | 01.07.2010 10:14 |
Прошу проверки. | dekkaaaaaa | Безопасность | 11 | 21.06.2010 00:27 |
Посмотрите пожалуйста результат проверки avz | winshelp | Безопасность | 5 | 07.08.2009 16:54 |
подскажите скрипт поиска на пхп для сайта по бд msql.+посмотрите мой скрипт | Kamilla Gates | Веб-строительство | 6 | 03.06.2009 19:35 |
Прога для проверки avi-файл на "битость"? | aseran | Мультимедиа | 1 | 26.11.2007 22:25 |