Сначала NOD32 IMON стал сообщать о попытках загрузки трояна, потом оказалось, что файервол (встроенный) отключен. Когда включил его обратно, в него стал добавляться explorer.exe как исключение под именем enable.
Стал проверять всем чем только можно - CureIt нашёл в системе активного трояна-прокси, убил его, но после перезагрузки он его нашёл снова. Ситуация с автодобавлением эксплорера в список исключений файервола осталась.
AVZ показывает несколько перехваченных функций + довольно странные драйверы в пространстве ядра:
\SystemRoot\System32\Drivers\ah0yectg.SYS
\??\E:\Temp\C18wPr8D.sys (это уж вообще ни в какие ворота - драйвер запущен из временного каталога %) ).
С системой явно чтото плохое случилось, посоветуйте, плз, как избавиться от заразы наименьшей кровью?
(Логи прилагаю)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
Указанные строчки пофиксил, спасибо.
ntoskrnl.exe находится по двум путям - system32 и ServicePackFiles\i386, но после копирования в карантин ни один из них в карантин не попадает - как быть?
Имеет ли смысл высылать этот файл (а размер и дата создания у обоих совпадают) минуя карантин AVZ ?
На текущий момент ситуация такова: после запуска InternetExplorer'а он выдаёт ошибку доступа к памяти вида инструкция по адресу 0x7c80a250 попыталась прочитать память по адресу 0x04a85000, которая прочитана быть не может.
Если окошко с ошибкой не закрывать - интернет эксплорер'ом можно продолжать пользоваться.
В списке модулей ядра AVZ по прежнему показывает левый драйвер с неудобоваримым именем, причём имя меняется при перезагрузках, например, на текущий момент это aqefjbbn.SYS.
Подскажите, плз, как быть дальше?
1) скрипт выполнил, но кажется всё равно какие-то ссылки на эту dll остались
2) ntoskrnl.exe в списке модулей пространства ядра у AVZ (версию обновил) показана _не_ зелёным цветом - безопасна ли она в этом случае?
3) деинсталлировал и удалил каталог алкоголика - драйвер со странным именем всё равно появляется - подскажите, плз, как избавиться от остатков?
4) остались сообщения о перехваченных функциях от AVZ (хотя, кажется, их стало поменьше)
5) - самое неприятное - по прежнему после перезагрузки в список исключений файервола добавляется эксплорер! Зачем ему порты слушать - явный непорядок...
Прилагаю новые логи, помогите долечить плз.
P.S. С проблемного компьютера невозможно загрузить аттачменты на форум.
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\W\System32\NavLogon.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
2 прошел по базе безопасных ...
3 алкоголь нормально не удаляется ..... драйвера нужно чистить руками ...
4 ничего зловредного не наблюдаю ...
5 explorer.exe - прходит по базе безопасных ....
с пунктом 5 согласиться не могу - в другой инсталляции WinXP explorer в списке исключений фаэрвола отсутствует + добавляет он себя без ведома, а точнее вопреки, пользователю.
Есть ли способ излечить его от такого поведения (и чем оно может быть вызвано в данной ситуации?) ?
выполнил скрипт по карантинированию экслорера, при архивации в virus.zip dat-файлы не добавляются.
На всякий случай высылаю virus.zip
Чистая ли система или нужно продолжать лечение?
Добавлено через 7 часов 7 минут
обновлённый AVZ выдал такое сообщение
C:\Program Files\Internet Explorer\setupapi.dll >>> подозрение на Trojan.Win32.Agent.dgw ( 075D57B8 04886AB1 001BE708 001B0A4B 17920)
Последний раз редактировалось _RRR_; 16.12.2007 в 11:24.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: