-
Junior Member
- Вес репутации
- 58
Подозрение на модификацию sdra64
Симптомы:
1. Блокирован каталог C:\Documents and Settings\user
2. В учетной записи user блокирован regedit и Диспетчер задач (стадарными методами, политики и реестр, не разблокируется) разблокировал поменяв значения политик "не задано-> включено->не задано"
3. В каталоге C:\WINDOWS\system32\drivers около 20 подозрительных файлов типа ati1xsxx.sys.
4. Avast pro обнаруживает файлы autorun.i, vsfoceankooruh.dll vsfocelltivxvk.dll
5. В ветке HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run случайно нашел ключик winlogon сщ значением c:\windows\system32\sdra64 .exe
6. Изначально был блокирован запуск всех антивирусных утилит и программ любым пользователем. Почистил в реестре из-под админа.
Все симптомы проявляются только относительно пользователя user.
Под админом работаю спокойно.
Предпринято:
1. Чистка автозапуска (msconfig)
2. CureIt! (полное сканирование)
4. Чистка всех каталогов с темпами всех пользователей (из под Ubuntu live CD)
5. Osam Auorun Manager полное сканирование - чисто.
Прошу помощи!
Последний раз редактировалось kamuri; 06.12.2010 в 14:21.
Причина: обновилась ситуация
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Если логи делались не из проблемной учетки, переделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-