-
Junior Member
- Вес репутации
- 57
Червь Win32/AutoRun.FakeAlert.M
Здраствуйте
Антивирус NOD32 обнаружил червя Win32/AutoRun.FakeAlert.M, в журнале событий такая запись:
"Защита файловой системы в режиме реального времени файл C:\Temp\rdl86.tmp Win32/AutoRun.FakeAlert.M червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft Common\svchost.exe."
Удалил папку Microsoft Common, там был модифицированный svchost.exe и еще два файла, названия не схоранились.
После чего использовал AVZ для восстановления системы (не запускался рабочий стол). Сейчас AVZ показыввает каких-то неопознанных перехватчиков. Посмотрите пожалуйста логи, что еще можно сделать для лечения системы и приведения ее в нормальное состояние?
Последний раз редактировалось MidasInc; 25.04.2011 в 01:22.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 57
Пожалуйста подскажите, как все-таки быть?
-
Что Вам в системе не нравится?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
Собственно сама система и с трояном работала, так что после лечения собственно ничего не изменилось в ее поведении.
Но вот при проверке AVZ пишет красным, и вот это меня и беспокоит:
Код:
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48A0 (284)
Функция NtCreateKey (29) перехвачена (80577925->F770F0E0), перехватчик spbz.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80578E1C->F772DCA2), перехватчик spbz.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (80587691->F772E030), перехватчик spbz.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80572BFC->F770F0C0), перехватчик spbz.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (80578A1C->F772E108), перехватчик spbz.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (8057303F->F772DF88), перехватчик spbz.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80582294->F772E19A), перехватчик spbz.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 867D41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 867D41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 867D41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867D41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867D41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867D41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 867D41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867D41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867D41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 867D41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 867D41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867D41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867D41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867D41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867D41F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 867D41F8 -> перехватчик не определен
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
То есть ничего страшного в системе похоже нет?
Спасибо за ответы.