Доброго времени суток! В последнее время у меня есть подозрения, что компьютер подцепил программу-шпиона - два раза за неделю блокировался профиль вконтакте за рассылку спама, и в настройках безопасности показывало, что моим профилем пользовался другой человек с российским ip. Также иногда засоряется буфер обмена, и вместе с нужным текстом добавляется всякий мусор вроде testtestestest и т.д. Проверил антивирусом и AVZ в безопасном режиме, вирусов не нашло, однако написало следующее:
Функция kernel32.dll: LoadLibraryExW (583) перехвачена, метод CodeHijack (метод не определен)
Также обнаруживало перехватчики, однако при выполнения скрипта удаления руткита после перезагрузки вновь находятся перехватчики, только с немного измененным именем, вроде splr.sys, spjf.sys и т.д. Помогите справиться с этой заразой!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Повторите логи.
ip Ваши?
Код:
IP адрес: 193.232.248.2
Страна: Belarus
Регион: Москва
Город: Москва
Широта: 55.755787
Долгота: 37.617634
Провайдер: ROSNIIROS Russian Institute for Public Networks
Код:
IP адрес: 82.209.213.51
Страна: Belarus
Регион: Homyel'skaya Voblasts'
Город: Gomel
Широта: 52.4417
Долгота: 30.9833
Провайдер: Republican Association BELTELECOM
Сообщение от InquisitorAles
Также иногда засоряется буфер обмена, и вместе с нужным текстом добавляется всякий мусор вроде testtestestest и т.д.
АВЗ при этом работал? Если да, то это он "добавлял мусор"
Сообщение от InquisitorAles
Функция kernel32.dll: LoadLibraryExW (583) перехвачена, метод CodeHijack (метод не определен)
Это нормально
Сообщение от InquisitorAles
только с немного измененным именем, вроде splr.sys, spjf.sys и т.д.
Скрипты выполнил, файл отправил. Сейчас мой ip - 178.123.233.123 Насколько я понял, ip у меня динамический, так что второй скорее всего мой. Первый не мой, и я его не видел в логах до этого.
При попытке фикса через некоторое время становятся недоступны все сайты, хотя пишет, что сеть подключена и проблем нет. После восстановления все начинает работать опять.
Ладно, видимо как-то по другому пароль уходил хакеру. Хотя это странно, ведь пароль был длинный (>30 символов, со специальными знаками).
А эта секция нормальна?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: