все компы win xp prof sp3 + symantec corporate 10.
на файловом сервере для 1с было замечено (netstat -b) постоянное подключение к vilknew.com при этом использовались библиотеки ws2_32.dll wininet.dll. пока день искал заразу, срубился рабочий стол (не запускался explorer). запуск шел только ручками, причем не разрешался переход между пользователями - пароль у второго принимал, но тут же срубал. скачал avz. прогнал на полной эвристике. он обнаружил две трудности: подозрение на rootkit и p2p заразу. p2p снес из под avz с эвристическим восстановлением + применил из под него же восстановление настроек explorer . хотя в реестре все было в норме... во всех ветках. а вот с руткитом пытаюсь бороться четвертый день. причем после подозрения avz через 5 секунд срабатывает автоматическая защита symantec с воплем: нашел трояна в c:\windows\system32\drivers\utg4njgy.sys 3 штуки, требует перезагрузки и 2 штуки пихает в свой карантин. решил отослать все к Вам, и только при выполнении инструкций, понял что при выключенной защите symantec никаких руткитов avz не видит....
так что у меня?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
очистку сделал, а вот на это (virusinfo_syscure.htm) не обращать внимания?
Файл Описание Тип
C:\WINDOWS\system32\drivers\Haspnt.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit >>> Перехватчик KernelMode - ЦП[1].IDT[06]
C:\Documents and Settings\Admin\Application Data\rambler.ru\toolbar\mail.mp3
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа PE файл с нестандартным расширением(степень опасности 5%)
C:\WINDOWS\system32\Attansic\L1\atcInst.exe
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение файлового сканера Подозрение на P2P-Worm.Win32.Nugg.an ( 00574032 08CD5FC5 001B19C0 0020414D 188416)
C:\WINDOWS\system32\Attansic\L1\atcInst.exe - это не инсталлятор программы Advanced Time Control, а, вероятнее всего, какая-то компонента, связанная с сетевой картой или к.-л. оборудованием производства компании Atheros, смотрите тут: http://www.attansic.com.
пасибо всем. сегодня хоть посплю спокойно... если возможно, ответь еще на один вопрос ( я начал лечиться сам, поэтому понимаю что нарушил неумышленно правила форума, и только позже нашел вас): avz удалил из с\windows\system 32 twex.exe
, лечил с эвристическим восстановлением, но сейчас в реестре вижу:
hklm\ software\ microsoft\ windows nt\ current version\ winlogon
userinit значение c:\windows\system 32\userinit.exe, c:\windows\system32\twex.exe
насколько я понимаю , то что после запятой надо удалить...
и еще twex.exe находится в c\windows\prefetch с именем: twex.exe-154B356D.pf
какие мои действия?
еще раз прошу извинений за неумышленное нарушение правил...
если нет возможности ответить про twex, то скажите об этом.
заранее спасибо
Последний раз редактировалось Rene-gad; 28.04.2009 в 09:57.
еще раз прошу извинений за неумышленное нарушение правил...
если нет возможности ответить про twex, то скажите об этом.
заранее спасибо
\windows\prefetch - Это базы данных, ничего исполняемого там нет. Ключ реестра должен иметь вид "c:\windows\system32\userinit.exe,"
В остальном если есть подозрения по файлам, то лучше "скормить" карантин "киберу" - http://virusinfo.info/showthread.php?t=3519 - все это классифицируется и обработается
Уважаемый(ая) oldgod, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: