Подозреваю что на компе Rootkit -постоянно расшаривается диск .
WinHex видит файлы не видимые проводником ,но помимо стандартных файлов NTFS есть и не стандартные
До этого
Пару недель назад нашел в корне Файл: C:\irdvxc.exe отослал на проверку
выявили модификация Backdoor.Win32.Rbot.bni добавили в базы .
Но вероятно Rootkit так и не удалился потому что диск расшаривался с некотрым постоянством -переодичность не определил
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Файлы, которые не видит проводник и видит WinHex - это норма. У NTFS тома есть ряд служебных невидимых файлов, их имена называются с $ (основные - $Boot и $MFT). На второй картинке виден файл, сохраненный из Инет (у RAR файла есть поток с данными об этом). Это не опасно ...
По поводу логов - пришлите для анализа файлы:
C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
C:\WINDOWS\system32\Drivers\vmm.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.exe
Зайцев ОлегСпасибо за ответ
Файлы отослал кроме
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.exe этот почему то ненашел .
Меня смутило прежде всего в невидимых файлах вот это
поэтому и забил тревогу причем не во всех директориях это есть и не ко всем файлам .
Также отослал crack[1].BY.ZXEvil.rar -но это из другой оперы -думаю что вирус потому что массовая рассылка на одном из форумов со ссылкой на rapidshare и предложением скачать это как обновление и тд и тп -AVP пока не определяет
Зайцев ОлегСпасибо за ответ
Файлы отослал кроме
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.exe этот почему то ненашел .
Меня смутило прежде всего в невидимых файлах вот это
поэтому и забил тревогу причем не во всех директориях это есть и не ко всем файлам .
Также отослал crack[1].BY.ZXEvil.rar -но это из другой оперы -думаю что вирус потому что массовая рассылка на одном из форумов со ссылкой на rapidshare и предложением скачать это как обновление и тд и тп -AVP пока не определяет
LOCALS~1\Temp\svchost.exe - скорее всего это зловред и он был убит AVP. Если файла нет, то необходимо удалить элемент автозапуска для него (через HijacThis или AVZ)
На картинке явно видны потоки "Zone.Identifier" - это как раз и есть та информация, о которой я писал выше - в этом потоке проводник делает пометку о том, что файл загружен из Инет с указанием зоны. А при запуске или открытии такого файла проводником он будет выводить матюгалиник "Данный файл загружен из иНтернет ...".
Зайцев Олег
Спасибо огромное за просветление - теперь буду знать .
В автозапуске почистил непонятные или левые на мой взгляд ссылки .
шары дефолтовые отключил и поправил реестр .
А по поводу crack[1].BY.ZXEvil.rar напишите как будет результат
Уважаемый(ая) arc, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: