При сканировании компа с помощью avz4 постоянно находит вот такое -
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Функция NtCreateKey (29) перехвачена (8057065D->F748F0E0), перехватчик spcw.sys
Функция NtEnumerateKey (47) перехвачена (80570D64->F74ADCA2), перехватчик spcw.sys
Функция NtEnumerateValueKey (49) перехвачена (80590677->F74AE030), перехватчик spcw.sys
Функция NtOpenKey (77) перехвачена (80568D59->F748F0C0), перехватчик spcw.sys
Функция NtQueryKey (A0) перехвачена (80570A6D->F74AE10, перехватчик spcw.sys
Функция NtQueryValueKey (B1) перехвачена (8056A1F2->F74ADF8, перехватчик spcw.sys
Функция NtSetValueKey (F7) перехвачена (80572889->F74AE19A), перехватчик spcw.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
Что делать?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
E:\Setup.exe- это что будет?
следы от драйвера касперского болтаются, авптул ставили ?
spcw.sys- от вашего эмулятора дисков
Скачайте полиморфную версию avz у меня в подписи и ей сделать не достающий лог, интересно всё -таки
P.S. Ad-Aware -согласен с Andreyka, действительно малополезная вещь , к тому же если в настройках не то нажать- ещё хуже будет. P.P.s RemotelyAnywhere- программа удалённого администрирования . знакомо?
drongo ,
E:\Setup.exe- я не знаю откуда он взялся
Касперского не ставил, авптул - не помню...
Скачал из подписи special avz@ rapidshare.com - до лампочки - в логах появляется только virusinfo_syscheck.zip, а virusinfo_syscure.zip - нету!
Ad-Aware стоит давно, да и не запущена...
RemotelyAnywhere - стояла по необходимости(с работы подключался, веб-камеру проверял). Сейчас снёс.
Почему virusinfo_syscure.zip не появляется?
Только сейчас деинсталировал Ad-Aware(уже после отсылки логов)...
А вот по ...Почистим тогда следы авптул:... - я не знаю как это сделать... Сорри, просветите лопуха.
drongo, код запустил, винды ребутнулись. Сейчас по новой просканировать?
Может сюда объединить и эту мою тему - Кейлоггер или что за адрес?, собственно, из-за этого и стал сканировать...
Откуда он там? У меня-то вроде нет ничего...
Добавлено через 3 часа 8 минут
Блин, не могу зайти в админку - что-то пытается загрузиться!
Пароль наверное уже стырили, теперь сидят, размышляют - что бы с этим сайтом(электронный учебник для школьников) сделать?
Как избавиться то? Пробовал с телефона зайти - при входе виснет всё не по-детски...
Если пролезли на сайт - через фтп можно вылечить? Стоит CMS Joomla! 1.5.7
Последний раз редактировалось realex; 25.12.2008 в 00:21.
Причина: Добавлено
Троян Pinch ворует все пароли, что есть на компьютере, а не только на доступ к сайтам. Так что советую поменять пароли.
Утилитой CureIt компьютер проверяли? Она детектирует троян.
Проще всего зайти в админку можно если добавить строку
127.0.0.1 killer-link.ru
в файл C:\WINDOWS\system32\DRIVERS\etc\hosts
Можете ли вы исправить через FTP или нет, не знаю, завит от прав доступа.
Проблема в том, что к страничке /administrator/ в конец приписан вредный скрипт.
Проверьте, на других страничках тоже может быть.
Зайти на фтп могу - я администратор.
Как на страничке/администратор найти этот код? В каком он может быть файле? Там вроде на все индекс выставлены права 444...
Добавлено через 10 часов 31 минуту
CureIt комп проверил - чисто. Что на фтп посмотреть?
Последний раз редактировалось realex; 25.12.2008 в 23:04.
Причина: Добавлено
Уважаемый(ая) realex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: