c:\windows\system32\6_exception.nls - говорит что Agent(rootkit)
c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\0de34567\install[1].exe - Packet/SFG(подозрительный)
c:\windows\system32\drivers\ip6fw.sys - говорит что заражен Rootkit.Pandex.Gen.2(мутант)
c:\windows\system32\sysfldr.dll - говорит что Clicker(Trojan)
Последний раз редактировалось mcc_1; 27.12.2007 в 18:41.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите антивирус и файерволл, выполните скрипт:
Код:
var
i,j:integer;
fname:string;
param:string;
param1:string;
begin
ClearQuarantine;
for i:=Ord('a') to Ord('z') do
for j:=Ord('a') to Ord('z') do
begin
fname:='sp'+Chr(i)+Chr(j)+'.sys';
if fname<>'sptd.sys' then
begin
param:='C:\Windows\system32\drivers\'+fname;
param1:='C:\Windows\system32\'+fname;
QuarantineFile(param,'');
QuarantineFile(param1,'');
DeleteFile(param);
DeleteFile(param1);
end;
end;
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Попробуем так.
Откроем AVZ - Сервис - Модули пространства ядра
Там будет некий sp??.sys с базовым адресом F8416000 и размером в памяти 0FE000 (1040384).
Выделите его, нажмите кнопками вверху - "Копировать в карантин" и "Снять дамп памяти текущего модуля".
Файл - Просмотр карантина - нужный нам файл в карантине архивируете и присылаете.
Затем присылаете архив файла .dmp в папке DMP каталога AVZ
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: