Замаскированный процесс, подозрение на KelnerMod Rootkit
Здравствуйте уважаемые хелперы!
Сегодня обнаружился зловредный процесс (еще дня 2 назад не было)
Симптомы:
1 На некоторых сайтах (например виндоус апдейт) вместо содержимого загружается пустой лист (даже нет записи типа сервер не найден - вообще ничего).
2 Не работает восстановление системы
3 Не пустило в папку Систем Волум Информатион - "отказано в доступе"
Обычная проверка ничего не дала. Но диспечер процессов AVZ показал налицие процесса:
Про этот setup.exe в графе Маскировка пишется "FU or KernelModRootkit" и AVZ указывает на подмену имени
После перезагрузки AVZ больше его не видит - при стандартной проверке AVZ на последнем этапе в нижней строке окна программы мелькает что то типа : нарушено, заблокировано .. но так быстро что невозможно прочитать. И что то о нарушении ассоциации SCR файлов. Кроме того два дня назад MBAM указал что заражен файл wextract.exe (самоизвлечение cab-файлов) в папке Систем 32. Но после следующего обновления MBAM не обращал на него внимания и я подумала что это ложное срабатывание
В безопасном режиме AVZ пишет:
1.2 Поиск перехватчиков API в Kelner Mod
Ошибка обмена данными с драйвером [00000002]-[1]
1.4 Поискмаскировки процессов
Ошибка обмена данными с драйвером [00000002]-[1]
Помогите пожалуста!!
Последний раз редактировалось Irina786; 24.02.2009 в 11:16.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- страница виндоус апдейт все же открылась
- на сайты, которые загружаются в виде пустой страницы можно зайти через анонимайзеры (но не через все)
- некоторые сайты открываются нормально, но если сохранить страничку на жесткий диск, она также может открываться в виде пустого листа (в блокноте открывается)
AVZ ведет себя странно - в нормальном режиме пишет о том что проверка маскировки процессов проведена успешно, а в безопасном режиме пишет:
меня очень волнует вопрос - драйвер поиска маскировки процессов может быть поврежден? это нормально когда он пишет о ошибке в безопасном режиме?
сейчас пытаюсь проверить как работает восстановление - создала точку отката, но меня не пускает в папку System Volume information (доступ не разрешен) и размер этой папки 0 байт (теоретически, если там уже есть точка отката, то должен быть размер больше 0). это нормально?
system restore когда нужно не помогает советую отключить и пользоваться программой, которая делает полный имидж диска и хранить диск на полочке не помешает (например acronis )
драйвера avz в безопасном не работают, так что это нормально на данный момент.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Замаскированный процесс, подозрение на KelnerMod Rootkit
советую отключить и пользоваться программой, которая делает полный имидж диска и хранить диск на полочке не помешает 
