Сегодня меня забанило в IRC, причина "Мой компьютер заражен трояном".
Установив пробную версию kav7.0.1.325ru, проапдетив до конца, просканировав, ничего не нашел... Потом сканировал программой spybotsd160. Она нашла троян в одном ключе реестра, затем я удалил его. После сканировал последней версией trojan-remover. Тоже ничего не было найдено. Далее я заметил в корне диска C появилась папка с названием "restore_#####" И в папку System Volume Information открылся доступ, так же сегодня, в ту минуту, когда забанило в IRC, в этой папке было созданно много системных файлов. Затем я отчистил полностью папку и выключил Восстановление системы. А также заметил, что "rundll32.exe" очень долго висит в процессах... После сканировал AVZ версии 4.30, вот, что мне выдало красным:
moderated:::Не постите и не прикрепляйте никакие другие файлы, логи, кроме логов HijackThis и AVZ (virusinfo_syscure.zip , virusinfo_syscheck.zip), если Вас об этом не просили.
C:\Windows\system32\iertutil.dll --> Подозрение на Keylogger или троянскую DLL
C:\Windows\system32\iertutil.dll>>> Поведенческий анализ
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Насчет System Volume Information почитайте тут раздел: Программа CACLS в Windows XP Home Edition
Потом запустите ПК в минимальной конфигурации: msconfig, Автозапуск - Все отключить, Службы/Виндовс-Службы не показывать, остальные отключить. Перегрузиться и логи от п.10 правил - в студию.
Последний раз редактировалось Rene-gad; 13.08.2008 в 16:03.
Да, кстати, что значат такого рода сообщения:
Функция kernel32.dll:GetProcAddress (40 их 6
и
Функция user32.dll:RegisterRawInputDevices (546)
одно.
Это не вирус хоть? )
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: