У меня такая проблема:
Как-то после перезагрузки увидел в памяти процесс opera.exe, запущенный из папки, где у меня стоит опера. Все бы хорошо, да вот только оперу я не загружал и в автозапуске ее нету. Причем этот процесс весит в памяти всего 2.5 метра. Сразу проверился всем, чем только можно - ни Dr. Web, ни AntiVir на Каспер ни Bit Defender ни Ad-Aware ни AVP ничего не нашли, все было с последними базами.
Затем я увидел, что этот процесс рвется в сеть (у меня агнитум стоит), причем на Удаленный адрес karlo.no-ip.info (Удаленная служба TCP:3460), ну я ему не дал этого сделать, зашел сам на сайт, он оказался запаролен, причем какой-то он странный. Ну тогда я этот процесс убил - да не тут то было, он снова запустился через 10 секунд где-то и снова начал рваться на karlo.no-ip.info.
В гугле ввел этот адрес в поиск - никаких результатов.
Возможно, кто-нибудь подскажет, как быть?
Спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Все по правилам сделал, кроме что от AVZ у меня архив называется не virusinfo_syscure.zip, а virusinfo_cure.zip. AVZ его сам так обозвал. Возможно, вам стоит подкорректировать правила?..
В общем, при проверках, опера не была запущена, но в логах виден ее процесс =(
Причем, если смотреть по Process Explorer, то родителем этого процесса является Explorer.exe.
PS Нашел у себя в папке c:\Windows\System32\Drivers
подозрительный файл oreans32.sys
Я погуглил и понял, что этот файл появляется при установки каких-то крипто-прог от Orean. Я такого не помню, чтобы ставил, отправил этот файл на virustotal.com. Все анвири молчат, кроме этого:
CAT-QuickHeal 9.00 2007.09.15 Rootkit.Agent.ad
Надеюсь, что-нибудь посоветуете...
Спасибо!
Последний раз редактировалось 4kusNick; 16.09.2007 в 02:52.
1. Уберите файл virusinfo_cure.zip из вложений в теме - это файл карантина, его следует загружать по ссылке наверху страницы.
2. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Вставил Ваш скрипт в AVZ (выполнить скрипт), проверил синтаксис - все ок, нажал Запустить, началась проверка , нейтрализация руткитов, а потом вылетела ошибка:
Filed to set data for Display/Name
Причем, вылетела она сразу после того, как в логе появилась эта строчка: Ошибка в работе антируткита [Out of memory], шаг [11]
В карантине последние записи только за 09.09.2007 и накакой оперы там конечно нет, ведь скрипт до карантина оперы, как я понял, не дошел =(
Добавлено через 45 минут
Подскажите пожалуйста, что делать, я уже думаю о переустановке системы, но очень не хочется ее снова всю настраивать - времени на это практически нету =(
Последний раз редактировалось 4kusNick; 16.09.2007 в 03:50.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: