Здравствуйте.
AVZ нашел модуль пространства ядра из C:\WINDOWS\Temp\191EA72E38.sys. Этот файл не виден в проводнике, при каждой перезагрузке имя меняется. Полная проверка с LiveCD ничего не выявила. Стоял Комодо, теперь стоит Др. Веб, они так же ничего не находили и не находят. Из внешних признаков: тормозит открытие страниц во всех браузерах, бывают отказы в открытии файлов, хотя файлы на месте и через некоторое время открываются без проблем.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Сергей Суров, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скорее всего, к утилите Alcohol относится.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); DeleteService('LSARJVYT'); DeleteService('TV'); QuarantineFile('C:\WINDOWS\Temp\191EA72E38.sys',''); RebootWindows(false); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
WBR,
Vadim
Скрипты выполнил (до этого перезагружался несколько раз, имя файла соответственно поменялось, я его в скрипте заменял на текущее), но карантин пустой. Я наверное зря Вас побеспокоил, прошу прощения. Поставил аудит на каталог Windows\temp, вот что выяснилось:
Тип события: Аудит успехов
Источник события: Security
Категория события: Доступ к объектам
Код события: 560
Дата: 02.11.2015
Время: 23:33:32
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: RET
Описание:
Открытие объекта:
Сервер объекта: Security
Тип объекта: File
Имя объекта: C:\WINDOWS\Temp\187D2D8938.sys
Код дескриптора: 800
Код операции: {0,273258}
Код процесса: 1256
Имя файла рисунка: C:\Program Files\DrWeb\dwservice.exe
Основной пользователь: RET$
Домен: ДОМАШНЯЯ
Код входа: (0x0,0x3E7)
Пользователь-клиент: -
Домен клиента: -
Код входа клиента: -
Доступ READ_CONTROL
SYNCHRONIZE
Запись данных (или добавление файла)
Добавление данных (или добавление подкаталогов, или создание копии канала)
WriteEA
WriteAttributes
Привилегии -
Счетчик ограниченного SID: 0
Это драйвер доктора Веба, оказывается. Почему-то AVZ все части доктора Веба считает не доверенными, хотя он у меня официально куплен.
Так же я нашел в списках драйверов ядра два драйвера от Касперского (когда-то ставил, потом удалял утилитой, но почему-то они так и остались). Видимо Др Веб с ними конфликтовал, я удалил загрузку этих драйверов из реестра и сами файлы, теперь проблем вроде бы нет.
Сервисы TV и еще несколько с безсвязныим названиями создавал по-видимому RootkitRevealer.exe, я его до этого запускал. По крайней мере в этих службах путь был прописан к файлам из темпа, а на них была иконка такая же как на RootkitRevealer.exe.
В общем спасибо за помощь и извините за напрасное беспокойство ещё раз.
Выполните рекомендации после лечения.
WBR,
Vadim
Хорошо
Последний раз редактировалось Сергей Суров; 03.11.2015 в 00:53. Причина: случайно предыдущее послалось
Ваши права в разделе
Ответить с цитированием
