-
Вирус Rootkit.Agent.QC
Здравствуйте,
Прошу помощи, антивирус выдает наличие Rootkit.Agent.QC , чистит вроде, но на следующий день он проявляется снова..
Зараженные файлы.. Но в самой системе \system32\ их нет
c:\windows\system32\kavo.exe
C:\WINDOWS\SYSTEM32\kavo0.dll
Приложила логи. Спасибо.
Пара вопросов. Как закрыть эти доступы.
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Последний раз редактировалось Lina_22; 11.10.2008 в 03:28.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
в логах нет ничего зловредного ....
не Spyware Doctor находит kavo .. ?
для закрытия доступа выполните скрипт .....
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RebootWindows(true);
end.
-
-
Сообщение от
V_Bond
не Spyware Doctor находит kavo .. ?
Он родимый!! И это бесит!.. Что предложите?
и во второй строчке модификация ...\kavo0.dll с нулем..
-
kcom.sys - пришлите согласно приложения 2 правил ....
Spyware Doctor ищет кажется по реестру и орет на оставшийся хвост в реестре ... файла на диске нет ....
предлагаю Spyware Doctor деисталировать ... как бесполезный ....
-
-
Сообщение от
V_Bond
kcom.sys
не поняла..
Последний раз редактировалось Lina_22; 21.06.2008 в 00:59.
-
выполните скрипт ...
Код:
begin
QuarantineFile('C:\WINDOWS\system32\drivers\KCOM.SYS','');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
-
KCOM.SYS действительно от Spyware Doctor ... больше ничего подозрительного ...
Spyware Doctor - настоятельно рекомендую деинсталировать у вас уже есть настоящий антивирус ... для предотвращения заражения флешевыми зловредами ... http://virusinfo.info/showthread.php?t=16459
-
-
Оки, от-инсталлирую..
Вопрос: у меня установлен McAfee и есть и Касперский лицензионный, конечно, вместе они не тусуются.. А кокой Вы (по опыту здесь)
посоветуете!?..
-
-
-
И все же комп работает подозрительно!!
DrWeb вытаскивает заражение в SystemVolume Inform, перезагружаясь в safe mode.. сканирую.. опять находит.. удалил..
во время работы AVZ, он само произвольно выключился.. Перезагрузила комп.. переинсталила avz по новой.. Сделала логи.
Есть некоторые вопросы.
Вот эти службы не выходили в первых отчетах.. Теперь открыты.. Как закрыть, пожалуйста?
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
Беспокоят вот эти позиции:
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
>>>>.....
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo[10003DF6]
>>> Код руткита в функции connect нейтрализован
Анализ wininet.dll, таблица экспорта найдена в секции .text
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\mclsp.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\mclsp.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\WINDOWS\system32\mclsp.dll)
C:\WINDOWS\system32\mclsphlr\gdlsphlr.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\mclsphlr\gdlsphlr.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\WINDOWS\system32\mclsphlr\gdlsphlr.dll)
C:\WINDOWS\system32\McRtl32.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\McRtl32.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\WINDOWS\system32\McRtl32.dll)
AVZ дает файл virusinfo_cure, загружаю его по пункту правил 3
Спасибо
Последний раз редактировалось Lina_22; 11.10.2008 в 03:28.
-
в логах ничего плохого ....
в чем вы подозреваете McAfee ? ( все "страшные" строчки от него)
-
-
Вы как всегда с юмором!!
Меня беспокоит что Drweb выдает зараженные файлы в System Volume Infor.. Что это??..
Почему открылись службы?
-
после отключения восстановления системы все там должно умереть ...
если нет можно конечно почистить руками ....
-
-
V_Bond_ик, милый! Не понимаю.. Система была отключена, в смысле восстановления, при выполнении логов.. Счас все включено обратно..
Что можно почистить руками?.. В regedit отправиться?..
-
было отключено ... этого достаточно там все должно затереться ... попробуйте запустить проверку Drweb если будет что - то находить будем принимать меры ...
-