-
Junior Member
- Вес репутации
- 57
маскировки, перехваты, aec.sys.bak
avz:
- множественные '>> обнаружена подмена PID (текущий PID=0, реальный = 400)'
- '\FileSystem\ntfs[IRP_MJ_CREATE] = 859F0ED8 -> перехватчик не определен'
- '\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = 83DFE8F8 -> перехватчик не определен'
- '>>> Подозрение на маскировку ключа реестра службы\драйвера "aec"'
В дир \system32\drivers\ файл aec.sys.bak (видать оригинальный), а aec.sys размера 565...кб и дата у него всегда свежая (пишут в него постоянно что-ли). Оба файла заблокированы
TCPView показывает кучу соединений типа
services.exe:504 TCP []:1888 91.82.249.53:http SYN_SENT
...
services.exe:504 TCP []:2036 ns1.ngmweb.net:https ESTABLISHED
Логи:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SetAVZPMStatus(true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится
Сделайте новый лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 57
ие при первом запуске слетает еще...
гугление приводит сюда: http://www.m86security.com/labs/i/Re...race.1362~.asp
rustock ?
Вот новый лог:
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин над первым сообщением в теме
-
-
Junior Member
- Вес репутации
- 57
'Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\aec.sys)
Карантин с использованием прямого чтения - ошибка'
-
Есть возможность загрузиться с LiveCD и скопировать в другую папку файл C:\WINDOWS\system32\drivers\aec.sys ?
А потом запаковать с паролем virus и прислать нам?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Сори за задержку - пока сд подобрал да разобрался... Вобщем закачал копии aec.sys & aec.sys.bak (renamed aec_sys & aec_sys_bak а то копироваться не хотели)
Добавлено через 3 часа 29 минут
Господа, Вы файлы получили хоть или нет? Может мне этот aec.sys через тот же LiveCD просто грохнуть? Мне-то он работать вроде не мешает, но и сам работает вовсю... Обидно...
Последний раз редактировалось IntelInside; 27.07.2010 в 16:15.
Причина: Добавлено
-
Файлы получили: aec.sys - Rootkit.Win32.Agent.bier
-----
С помощью Live CD удалите зараженный aec.sys, а aec.sys.bak переименуйте в в aec.sys
Сделайте новый лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 57
-
Junior Member
- Вес репутации
- 57
Все сделал. Вот лог. Перехваты исчезли, левая сетевая активность тоже. Маскировки всякие остались, но думаю что это 'особенности' AVZ на 2k3 SRV. Поправьте если не так...
-
Сообщение от
IntelInside
Маскировки всякие остались, но думаю что это 'особенности' AVZ на 2k3 SRV
Да.
Лог чистый
-
-
Junior Member
- Вес репутации
- 57
ОК. Всем спасибо. Закрыта.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- \aec_sys - Rootkit.Win32.Agent.bier ( DrWEB: Trojan.NtRootKit.9374, BitDefender: Trojan.Agent.AQCT, NOD32: Win32/Agent.RKL trojan, AVAST4: Win32:Malware-gen )
-