Недавно у меня приключилась большая неприятность, влезли на мой сайт по фтп и вписали всякую гадость во все файлы index в корне и на всех поддоменах, видимо пароли из фара стащила какая-то дрянь. Антивирусы ничего не находят. Проверил машину с помощью AVZ, есть какие-то странные перехваты каким-то драйвером со все время разным названием sp?r.sys, третья буква меняется, то n, то j, то еще что-то, возможно и четвертая буква тоже меняется. Еще одна была странность, появление в окне редактирования MS VS на моих глазах строки testtesttesttesttesttesttesttesttesttesttesttestte sttesttesttesttesttesttesttesttest,
как будто кто-то слово test копировал многократно из буфера обмена, хотя в буфере обмена его как раз не было.
Вроде все,
спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
sp??.sys - это детки sptd.sys, который у вас с Демоническими инструментами поставился.
testtesttest - это следы работы AVZ. Во время исследования системы никаких постороних действий делать не рекомендуется, вы мешаете AVZ ловить зверей. Она с помощью имитации клавиатурного ввода провоцирует кейлогеры.
Что такое karna.dat? Если не знаете, то пришлите (см. Приложение 3) по красной ссылке. Лично я больше ничего подозрительного не углядел. Хотя ворюга вполне мог быть, сделать своё дело и самоуничтожиться.
Здравствуйте.
К сожалению не знаю что такое karna.dat, и в карантине его нет.
Извините что может быть глупость спрошу, но это сообщение меня смущает - "Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "karna.dat"". Значит ли это, что в системе происходит что-то похожее на что-то связанное с karna.dat, или AVZ увидел где-то файл karna.dat?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: