Здравствуйте. Помогите найти зловреда.
Сегодня пока сидел в инете APS(прога Зайцева) выдала что на UDP 1026.B пришла дейтограмма размером 457кб
Я тут же вышел из сети и запустил Касперсокого на полный просмотр (KAV 7.0 базы от 21.07.2008 13:00). Он ничего не нашел.
Тогда я запустил расширенный поиск в CureIt (версия от 19.07.200. Он тоже ничего не выявил. AVZ с расширенной эвристикой и
базами от 20.07.2008 тоже ничего подозрительного не увидел (хотя, по правде говоря, я еще не разу не видел чтобы он что-либо
засекал). После чего я попробовал запустить RootkitRevealer и получил следующее:
"отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав для доступа к этому объекту".
Попытка востановить систему через пункты 1,4,8 ничего не дала.
После чего, я пробовал запустить весь этот антивирусный набор в безопасном режиме винды и с, созданного заблаговременно,
диска восстновления касперыча с базами от 19.07.2008 (Revealer я правда так и не смог запустить - в безопасном и с диска
если, то ему не хватает прав, а в обычном, AVZGuard не смог разлочить CMD.exe, которую Revealer требовал).
Ничего не обнаружилось. (правда при запуске с диска восстновления касперский не мог проверить некоторые системные файлы - в
логе было: что отказано в достпупе.)
З.Ы. все антивирусные проги были переименованными мною с их дефолтных названий.
Приложение: лог от AVZ созданный стандартным скриптом и лог от HiJackThis
Последний раз редактировалось Rene-gad; 21.07.2008 в 15:33.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
Минуты через две после входа в систему под админом получаю:
"отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав для доступа к этому объекту".
при попытке запустить любой экзешник. Под ограниченной учеткой такого нет.
Попытка востановить систему через пункты 1,4,8 AVZ ничего не дает. Говорит что все успешно но сообщение все равно появляется.
SpyWare Detector нашел
Trojan.Agent
(%windir%\system32\dllcache\fixmapi.exe, %windir%\system32\fixmapi.exe)
Trojan.FakeAlert
(%windir%\system32\dllcache\calc.exe, %windir%\system32\calc.exe)
При моей попытке скинуть их в карантин я удалил их и в карантин они почему то не попали, хотя я жал по кнопке "скопировать выделнное в карантин".
Я отправил на VirusTotal svchost.exe и два антивиря(Avast,GData) нашли в нем Win32:Rootkit-gen
Можете подсказать, как побороть?
Последний раз редактировалось gfx00; 22.07.2008 в 13:07.
Причина: Добавлено
Д
При моей попытке скинуть их в карантин я удалил их и в карантин они почему то не попали, хотя я жал по кнопке "скопировать выделнное в карантин".
Я отправил на VirusTotal svchost.exe и два антивиря(Avast,GData) нашли в нем Win32:Rootkit-gen
больше это похоже на ложное срабатывание ... если авз не добавлял в карантин - значит файлы в базе безопасных , svchost.exe случайно не удалили ?
Нет, svchost не удалил.
Ложное, тоды хорошо, но проблема лишения меня прав доступа под учеткой админа осталась. Сейчас обнаружил что "оно" при старте системы включает автозапуск с устройств.
Думаю отследить процессс помощью RegMon по ключу HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\
Пошарив по сети, нашел, что прав доступа к файлам меня лишает все таки какой то процесс. Но не могу никак отловить его среди той кучи сервисов которые пускаются. Подскажите как его можно засечь - ни антивири, ни AVZ, ни Ade-Aware, ни другое анти шпионское ПО его не видят. А если вручную то моих знаний явно не хватает чтобы вычленить что то среди кучи запущенных длл-ок и сервисов
Знание пришло, но слишком поздно - винт был уже отформатировал.
Виноват оказался AVZ со своим AVZGuard. И хоть бы где написали бы, что у него может проявиться такой "эффект". столько времени и нервов было потрачено на борьбу с "ветряными мельницами" не передать...
Просьба к "помошникам": если будут обращения на отказ в доступе, заикнитесь, что AVZ тоже способен генерировать такую ситуацию.
Перед выполнением следующих пунктов (8, 10, 12) закройте свои антивирусные программы, игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер
Особенно с АдАваре, как антималварной программы примерно сходной по назначению с АВЗ, у AVZGuard могут быть столкновения.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Backdoor.R2k(Remote Explorer) ???
. Он тоже ничего не выявил. AVZ с расширенной эвристикой и
Сообщение от gfx00
, второй - от Каспера.
