Здравствуйте.
Я скачал из eMule несколько файлов. После распаковки и запуска одного или 2-х из них, сейчас точно не помню, в системе стал появляться процесс hldrrr.exe в 2-х экземплярах, который без труда убивался Process Explorer'ом. Проверка этого файла на VirusTotal.com показала, что DrWeb обнаруживает этот файл как Win32.HLLM.Beagle. AVZ показывал наличие UserMode руткита, который не изчез после удаления hldrrr.exe. Кроме того, Outpost Firewall начал постоянно сообщать об изменении библиотек в Windows\System32, хотя никакого нового ПО и обновлений не устанавливалось. Далее, при выполнении стандартного скрипта "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" обнаружилось, что на пункте "5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)" появляется сообщение от Outpost Firewall о том, что некий <process:138465> (номер часто менялся) пытается изменить память процесса AVZ.EXE (нажимаю "Блокировать однократно"), затем сообщение что аналогичный процесс пытается посылать нажатия клавиш в окно AVZ.EXE ("Блокировать однократно"), затем еще одно-два сообщения в том же духе, после чего окно AVZ приобретает несколько поврежденный вид: окно со списком стандартных скриптов пусто, пуст список дисков, доступных для проверки. Process Explorer показывает почти нулевую загрузку ЦП, обращений к диску нет, и в таком состоянии AVZ находится минуты 2-3, после чего очухивается и доводит до конца выполнение скрипта.
Последний на вчерашний день DrWeb CureIt! ничего не находит, даже если загрузиться с LiveCd и запускать из-под него.
ОС Windows 2003 Server.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Знатоки, пожалуйста подскажите, как определить, кто ставит UserMode руткит! Посоветуйте какие-нибудь методики, чем и куда залезть и посмотреть. Буду вам очень благодарен!
Но почему-то он этого не делал до описанных проблем, хотя AVZ-ом я проверяюсь регулярно и Outpost стоит уже несколько месяцев.
Я сделал поиск по APICodeHijack и предположил, что это остатки снесенного во время борьбы с тем вирусом Касперского, ан нет, все советы по окончательному удалению выполнил, а результат тот же.
Уважаемый(ая) bis75, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: