Пришлось лечить машинку. Там был зоопарк: пару троянов, авторан и z-connection. В целом удалось очистить, но остался какой-то руткит, и никак не могу удалить пару файлов
C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp, c:\windows\system32\taskswitch.exe
После лечения остался руткит
Пришлось лечить машинку. Там был зоопарк: пару троянов, авторан и z-connection. В целом удалось очистить, но остался какой-то руткит, и никак не могу удалить пару файлов
C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp, c:\windows\system32\taskswitch.exe
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Запустите AVZ. Выполните скрипт через меню Файл:
Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519Код:begin RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CoolSwitch'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','utm5_wintray'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nodenable'); end.
utm5_wintray это программа клиент биллинга UTM_Netup. Файл с подозрительными объектами отправил
Файл сохранён как 090930_144847_virusinfo_files_COMP_4ac3378f90044.z ip
Размер файла 19657274
MD5 42d3244bd42fba7faa25b2f3b0ed4d20
Ничего подозрительного.Сообщение от CyberHelper
Архив 090930_144847_virusinfo_files_COMP_4ac3378f90044.z ip, загружен 30.09.2009 1817, размер 19657274 байт
Всего файлов: 39 (исполняемых 39), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 0
Спасибо. Но меня вот это беспокоит
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 02.10.2009 9:00:26
Загружена база: сигнатуры - 243180, нейропрофили - 2, микропрограммы лечения - 56, база от 29.09.2009 22:38
Загружены микропрограммы эвристики: 374
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 144957
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
[COLOR="Red"][/Функция kernel32.dlloadLibraryExW (581) перехвачена, метод CodeHijack (метод не определен)[COLOR]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0846E0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B6E0
KiST = 80503A70 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=A9634000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS"
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 26
Количество загруженных модулей: 256
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 282, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 02.10.2009 9:00:46
Сканирование длилось 00:00:22
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Деинсталлируйте NOD32 и посмотрите, ичез ли перехват.
Уважаемый(ая) zwolt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
