Показано с 1 по 13 из 13.

Подозреваю что у меня SP3 с паразитом (заявка № 43772)

  1. #1
    Junior Member Репутация
    Регистрация
    08.04.2009
    Сообщений
    22
    Вес репутации
    55

    Exclamation

    Установил SP3 с полным форматированием раздела. Пока устанавливал ПО и "прилизывал" систему, Symantec показал нездоровую активность в System Volume Information. Проверил целиком, пусто, а трояны с завидной переодичностью снова появлялись в System Volume Information. Потом все затихло. Ни Symanteс, ни Dr.Web ничего не находят. Вчера проверил с помощью AVZ, показал неопределенные перехватчаки, подозрение на троянскую DLL и снова паразиты в System Volume Information. Прошу проверить логи.

    Кстати, причина переустановки SP3 - "lsass.exe - системная ошибка" с кнопкой OK для перезагрузки(в безопасном режиме то же самое). И случилось это после взлома моего WMID. Боюсь повторения.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 15.04.2009 в 10:30.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Увидел только вот это:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
     DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
     QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
     DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    сделать новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    08.04.2009
    Сообщений
    22
    Вес репутации
    55
    После выполнения скрипта, за секунду до перезагрузки, Symantec успел поместить в карантин вот это: Trojan Horse файл vdi2njkw.sys путь C:\windows\system32\drivers

    Новые логи:
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от begunok Посмотреть сообщение
    Symantec успел поместить в карантин вот это
    А Вы правила читали?
    6. Отключитесь от сети Интернет и выгрузите антивирусную программу...
    Ничего в логах не видно.

  6. #5
    Junior Member Репутация
    Регистрация
    08.04.2009
    Сообщений
    22
    Вес репутации
    55
    Спасибо.
    А Вы правила читали?
    Да, читал. Все проверки проводились с выключеным антивирусником. Единственное, скрипт выполнялся с включенным(упустил из виду ).

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от begunok Посмотреть сообщение
    Единственное, скрипт выполнялся с включенным(упустил из виду).
    Так как же выключенному антивирусу удалось сожрать файл?

  8. #7
    Junior Member Репутация
    Регистрация
    08.04.2009
    Сообщений
    22
    Вес репутации
    55
    Не, когда я скрипт запустил и он уже выполнялся, увидел, что у меня Symantec дежурит. Скрипт предполагал RebootWindows, так вот перед самой перезагрузкой на долю секунды мелькнуло окно Symantecа и комп перезагрузился. После перезагрузки я в изолятор заглянул и увидел, что он там сожрал. Мне показалось подозрительным такое поведение. А что, файл vdi2njkw.sys Вам знаком?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от begunok Посмотреть сообщение
    А что, файл vdi2njkw.sys Вам знаком?
    Нет, Вы же скормили его Симантеку

  10. #9
    Junior Member Репутация
    Регистрация
    08.04.2009
    Сообщений
    22
    Вес репутации
    55
    Как же быть? Может упаковать и выслать как карантин? Он у меня в изоляторе Symanteca своей участи ждет.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от begunok Посмотреть сообщение
    Может упаковать и выслать как карантин? .
    Сделайте, плиз, только в безопасном режиме, а то Симантек его опять сожрет.

  12. #11
    Junior Member Репутация
    Регистрация
    08.04.2009
    Сообщений
    22
    Вес репутации
    55
    Ок. Только в пятницу, раньше не смогу.

    Файл сохранён как 090417_075300_virus_49e7fd1cd9764.zip
    Размер файла 5337
    MD5 865239bf5d3bec0a3b137debb7097be7

    Оказалось, что Симантек еще и одноименную(vdi2njkw) службу ушатал.
    Последний раз редактировалось Rene-gad; 17.04.2009 в 09:58.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    vdi2njkw.sys

    Вредоносный код в файле не обнаружен.
    Отошлите файл в техподдержку Симантек: это драйвер бутклинера AVZ

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) begunok, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозреваю зловреда.
      От Lexus в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 08.02.2011, 16:25
    2. подозреваю вирусы
      От evoname в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 30.11.2010, 09:07
    3. Ответов: 7
      Последнее сообщение: 01.08.2010, 17:14
    4. Подозреваю троян
      От fuwaneko в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 08:19
    5. Подозреваю
      От Sandmartin в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.04.2008, 10:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01143 seconds with 20 queries