-
Junior Member
- Вес репутации
- 53
Последствия Flash Decoder Digital Access
Доброго времени суток.
Имел неосторожность поймать вирус "Flash Decoder Digital Access" (определялся файл aekgoprn.dll), после чего перестал нормально работать Firefox (IE работал нормально) и постоянно появлялось окно с просьбой отправки СМС. После танцев с бубнов вокруг компа (чистка реестра руками, прогон AVPTool и AVZ) вышеописанные проблемы пропали.
После прогонял и DrWeb но он ничего не нашел.
Меня настораживают строки в логе AVZ следующего характера:
- Обнаружена подмена PID...
- и что-то про перехват процесса.
Помогите пожалуйста разобраться с этим.
Логи прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте утилиту и запустите. Приложие файл drv.sys в каталоге, откуда Вы запускали get3
Последний раз редактировалось Шапельский Александр; 27.01.2010 в 17:47.
-
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\Temp\TS_2A2F.tmp','');
QuarantineFile('C:\Windows\Temp\TS_A43A.tmp','');
DeleteFile('C:\Windows\Temp\TS_2A2F.tmp');
DeleteFile('C:\Windows\Temp\TS_A43A.tmp');
BC_ImporttAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог MBAM.
-
-
Junior Member
- Вес репутации
- 53
Приношу извинения за долгий ответ.
После выполнения get3 комп перзагружается, а файла drv.sys в каталоге нет!
Карантин отправил.
Прилагаю повторные логи.
В предложенном Вами скрипте похоже закралась ошибка:
BC_ImporttAll; так AVZ ругается, а если так BC_ImportAll; то все нормально.
Спасибо.
-
В логах чисто, что с проблемой?
-
-
Junior Member
- Вес репутации
- 53
Да вроде все работает. Только не внушает доверия большое количество строк в логе AVZ (advapi32.dll и netapi32.dll):
Функция advapi32.dll : AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->754324B5->7534193A
Функция netapi32.dll : DavAddConnection (1) перехвачена, метод ProcAddressHijack.GetProcAddress ->738F3B10->6CFD29DD
А также:
Маскировка процесса с PID=260, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 260)
Везде имя = "" и текущий PID=0
Я хотел узнать не является ли это последствием вируса.
-
Сообщение от
Alex_K29
Маскировка процесса с PID=260, имя = ""
Для семёрки нормально.
-
-
Junior Member
- Вес репутации
- 53
Функция advapi32.dll : AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->754324B5->7534193A
А данные строки тоже обусловлены особенностями семерки?
-
Не знаю, семёрка там причиной или что-то другое, но раз хелпер пишет:
Сообщение от
shapel
В логах чисто
то это тоже нормально.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-