пожалуйста, скажите есть ли мусор в системе?
p.s.: подскажите, а где можно взять (а ещё лучше постоянно брать) новые версии полиморфного авз и avz_monk ?
пожалуйста, скажите есть ли мусор в системе?
p.s.: подскажите, а где можно взять (а ещё лучше постоянно брать) новые версии полиморфного авз и avz_monk ?
Пофиксте в HijackThis следующие строки:
После перезагрузки сделайте новый лог HijackThis и приложите сюда.O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU)
O21 - SSODL: UpdateCheck - {B58C916B-9483-4CCB-B86F-A6E02D949388} - (no file)
Ссылки на полиморфный авз есть у некоторых хелперов в подписи. Новые сборки выходят не регулярно. Крайняя была 19.08.2009.
А кто собирает этот полиморфный AVZ?
И меня больше пугал отчёт AVZ (посмотрите в логе: неизвестные длл-ки), чем Hijackthis...
При повторном скане полиморфным AVZ вижу красные надписи в логе:
69 строк вида (найдено в сецкии text):
(вместо kernel32.dll ещё бывает ntdll.dll, user32.dll, advapi32.dll, ws2_32.dll, wininet.dll, urlmon.dll и т.п.)Код:Функция kernel32.dll:Function (123) перехвачена, метод APICodeHijack.JmpTo[10001B66]
а также:
причем проверил путь - папки RarSFX2 там не существует (у меня включён показ скрытых и системных файлов)Код:Маскировка процесса с PID=2860, имя = "7ljz6xp.exe", полное имя = "\Device\HarddiskVolume1\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX2\7ljz6xp.exe"
и
Код:1.5 Проверка обработчиков IRP \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A5CF1F8 -> перехватчик не определен
Последний раз редактировалось Drug0y; 11.09.2009 в 11:50.
Вы проводили сканирование CureIt?
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
NickGolovko, правильно мыслит. CureIt оставляет подобные следы.
Drug0y, если бы вы сделали в соответствии с Правилами второй лог AVZ после перезагрузки, то там было бы чище.
NickGolovko, делал. Он ничего подозрительного не нашёл.
AndreyKa, в Правилах не сказано о повторном логе, а вы мне сказали только про лог Hijackthis, который я собственно и выложил повторно.
p.s.: прошу прощения за то что дважды ошибся в том, что выкладывал не тот архив.
Последний раз редактировалось Drug0y; 11.09.2009 в 17:50. Причина: карантин в теме
кто и почему пометил тему как "излечено"?
при очередном быстром скане АВЗ я увидел опять много всего нехорошего (см. вложение).
Загрузите по ссылке "Прислать запрошенный карантин" файл virusinfo_cure.zip.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
сделал
Я. Потому как то, что вы считаете нехорошим, по-моему нормально.
В добавок к просьбе NickGolovko выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
AndreyKa, да вы только посмотрите содержимое аттачмента! там же вирусы видны невооруженным глазом! (apq6t66d.SYS и 7ljz6xp.exe, перехватчик spcg.sys)
А процедуру - выполнил.
spcg.sys - это эмулятор диска. Имя меняется при каждой перезагрузке
apq6t66d.SYS - это тоже эмулятор atapi/ide. Имя меняется также
7ljz6xp.exe - CureIt был запущен при создании лога?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex, CureIt запущен не был, но вообще в том сеансе я его до этого запускал. С выключенным CureIt-ом только что сделал проверку - снова оно же.
а можно поподробнее про эмуляцию? какая программа и зачем это творит? у меня только DaemonTools стоит из того что могло бы это сделать.
AndreyKa, это вам спасибо за помощь.
А почему только 1 и какой 1?
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Drug0y, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.