firewall засек вирусную активность на компе, комп был пролечен встроенным ESET NOD 32, свежими AVZ, CureIt, AVPTool. Был выявлен и удален ряд вирусов. Но после этого все равно остаются вирусные следы.
Подозрение на вирус
firewall засек вирусную активность на компе, комп был пролечен встроенным ESET NOD 32, свежими AVZ, CureIt, AVPTool. Был выявлен и удален ряд вирусов. Но после этого все равно остаются вирусные следы.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пожелание: Обновите оффлайн-версию правил rules.zip "Правила! Читать перед запросом о помощи!", а то там старый вариант.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\glbuh\LOCALS~1\Temp\winlogon.exe',''); DeleteFile('C:\DOCUME~1\glbuh\LOCALS~1\Temp\winlogon.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
После выполнения скрипта карантин пуст. Потом я попытался вручную поместить файл C:\DOCUME~1\glbuh\LOCALS~1\Temp\winlogon.exe в карантин. Ответ:
Ошибка карантина файла, попытка прямого чтения (C:\DOCUME~1\glbuh\LOCALS~1\Temp\winlogon.exe)
Карантин с использованием прямого чтения - ошибка
Затем я проверил и в папке C:\DOCUME~1\glbuh\LOCALS~1\Temp\ нет файла winlogon.exe
Логи повторите...
Логи заново
В логах чисто...
Ну а как же
"1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dlloadLibraryExW (580) перехвачена, метод APICodeHijack.JmpTo[600D1EFF]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:SystemFunction035 (619) перехвачена, метод APICodeHijack.JmpTo[600D1541]
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:InternetAlgIdToStringA (212) перехвачена, метод APICodeHijack.JmpTo[67001634]
Функция wininet.dll:InternetAlgIdToStringW (213) перехвачена, метод APICodeHijack.JmpTo[670017CF]
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text"
Фразы: "Функция *** перехвачена, метод APICodeHijack.JmpTo" очень подозрительные! Не припоминаю, чтобы это было раньше...
Это нормально, перехваты функций вызывает защитный софт...
Уважаемый(ая) mars30, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
