Подозрение на скрытую загрузку библиотек через AppInit_DLLs
Не знаю что делать? Помогите, пожалуйста, разобраться.
Подозрение на скрытую загрузку библиотек через AppInit_DLLs
Не знаю что делать? Помогите, пожалуйста, разобраться.
Выполните http://virusinfo.info/pravila.html
Сделала диагностику
Профиксите в HijackThis
- Сделайте повторный лог hijackthis.logКод:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O13 - Gopher Prefix: O20 - AppInit_DLLs: ,
Сделано.
-Профиксите в HijackThis
2.Выполните скрипт в AVZКод:R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O13 - Gopher Prefix: O20 - AppInit_DLLs: ,
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('FXDrv32'); DeleteFile('E:\FXDrv32.sys'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Сделано.
Поиск маскировки процессов и драйверов
Маскировка процесса с PID=456, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 456)
Маскировка процесса с PID=508, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 50
Маскировка процесса с PID=556, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 556)
Маскировка процесса с PID=956, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 956)
Маскировка процесса с PID=1640, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1640)
Маскировка процесса с PID=1824, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1824)
Маскировка процесса с PID=1852, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1852)
Маскировка процесса с PID=1868, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 186
Маскировка процесса с PID=1908, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 190
Маскировка процесса с PID=1104, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1104)
Маскировка процесса с PID=2252, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2252)
Маскировка процесса с PID=2948, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 294
Маскировка процесса с PID=3412, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3412)
Маскировка процесса с PID=3488, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 348
Маскировка процесса с PID=756, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 756)
Маскировка процесса с PID=848, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 84
Маскировка процесса с PID=3500, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3500)
Маскировка процесса с PID=2336, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2336)
Маскировка процесса с PID=3088, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 308
Маскировка процесса с PID=3856, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3856)
Маскировка процесса с PID=984, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 984)
Маскировка процесса с PID=720, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 720)
Маскировка процесса с PID=1636, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1636)
Маскировка процесса с PID=2372, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2372)
Маскировка процесса с PID=3108, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 310
Маскировка процесса с PID=2724, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2724)
Маскировка процесса с PID=2220, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2220)
Поиск маскировки процессов и драйверов завершен
-------------------------------------------------------------------------------
Как с этим быть?
В маскировках на Vista ничего необычного
Забавные животные на Рабочем столе - сами устанавливали?
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Забавных животных сама установила.
Попробую сделать предложенное.
просканировала, нашлось 5 инфицированных объектов.
- удалите в MBAM
Код:Заражённые ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken. Заражённые файлы: c:\Windows\System32\config\svchost.exe (Trojan.StartPage) -> No action taken.
Удалила.
Уважаемый(ая) Ajgul, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.