Замечаю постоянно какие-то скрытые процессы, которые ссылаются на диск С в папку windows/temp
Замечаю постоянно какие-то скрытые процессы, которые ссылаются на диск С в папку windows/temp
Выполните скрипт в AVZ:
Получившийся карантин пришлите по правилам. Посмотрим, что это за объекты.Код:begin SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\system32\linkdel.cmd',''); QuarantineFile('ACDV.dll',''); QuarantineFile('C:\WINDOWS\Temp\RarSFX0\69wp3.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Корректно ли указаны сервера DNS - 172.16.3.1 192.168.117.250 ?
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Выслал карантин. Все свои проблемы связываю с программой VKLife, не надо было её устанавливать, именно при её запуске наблюдаются скрытые процессы
Запустите тогда эту программу, откройте в AVZ Сервис - Диспетчер процессов, посмотрите список на предмет скрытых процессов (выделенных красным цветом). Если таковые обнаружатся, выделите их в списке и нажмите кнопку "Копировать в карантин". В случае успешного карантина загрузите его по той же ссылке.
Из предыдущего скрипта в карантин попал только linkdel.cmd, сейчас буду его смотреть.
Добавлено через 4 минуты
На вид ничего ужасающего. Вам вообще файл этот (C:\WINDOWS\system32\linkdel.cmd) знаком?
Последний раз редактировалось NickGolovko; 06.09.2009 в 11:57. Причина: Добавлено
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Вот, что заметил:
Ошибка карантина файла, попытка прямого чтения (\Device\HarddiskVolume1\WINDOWS\Temp\RarSFX0\69wp 3.exe
В карантин 69wp3.exe не добавляется
linkdel.cmd это наверно пересборщик меню
Значит, имя у него постоянное. Это хорошо.
Выполните скрипт в AVZ, когда программа VKLife запущена:
Система перезагрузится. Посмотрите, попадет ли что-нибудь в карантин.Код:begin SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\Temp\RarSFX0\69wp3.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Интересная штука. При запуске утилиты веба появляется доверенный процесс a35nrxp.exe , который после закрытия утилиты веба становится скрытым и ссылается на C:\WINDOWS\TEMP\RarSFX0\a35nrXP.exe
В карантин не добавляется. В диспетчере процессов в графе маскировка: да, FU от KernelMode Rootkit
поиск ключей, содержащих образец "a35nrxp.exe"
-- Поиск в HKEY_LOCAL_MACHINE --
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\v di1mty0\QrFile1 = \??\C:\WINDOWS\TEMP\RarSFX0\a35nrXP.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\v di1mty0\QrFile2 = \??\C:\WINDOWS\TEMP\RarSFX0\a35nrXP.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\v di1mty0\QrFile1 = \??\C:\WINDOWS\TEMP\RarSFX0\a35nrXP.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\v di1mty0\QrFile2 = \??\C:\WINDOWS\TEMP\RarSFX0\a35nrXP.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\vdi1mty0\QrFile1 = \??\C:\WINDOWS\TEMP\RarSFX0\a35nrXP.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\vdi1mty0\QrFile2 = \??\C:\WINDOWS\TEMP\RarSFX0\a35nrXP.exe
-- Поиск в HKEY_CURRENT_USER --
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache\C:\WINDOWS\TEMP\RarSFX0\a35nrXP.ex e =
-- Поиск в HKEY_CLASSES_ROOT --
-- Поиск в HKEY_USERS --
HKEY_USERS\S-1-5-21-1645522239-682003330-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICach e\C:\WINDOWS\TEMP\RarSFX0\a35nrXP.exe =
Всё нормально, CureIt прячется от зловредов.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) KIAMOND, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.