Кто-то перехватывает функции ядра, хочется выяснить что это, может вредонос?!
Printable View
Кто-то перехватывает функции ядра, хочется выяснить что это, может вредонос?!
Видны перехваты симантека, его нужно удалить для чистоты эксперимента, и затем сделать новые логи. То есть, теоретически зловред может перехватывать те же функции, а только потом антивирус будет их перехватывать- мы же видим последние перехваты антивируса :)
Не расстраивайтесь, всё равно он старый- что толку от такого?
На всякий случай выполнить скрипт @ avz
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Mstray.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\packet.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\MarvinBus.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=16722[/url]
В доверенную зону вы это сами добавили ? Не понятно зачем :)
IP знакомые ?
[code]O15 - Trusted Zone: http://astrakhan.astragsm.ru (HKLM)
O15 - Trusted Zone: http://www.astragsm.ru (HKLM)
O15 - Trusted Zone: http://www.astrakhan.astragsm.ru (HKLM)
O15 - Trusted Zone: http://*.billing (HKLM)
O15 - Trusted Zone: http://*.intranet (HKLM)
O15 - Trusted Zone: http://*.mail.ru (HKLM)
O15 - Trusted Zone: http://*.projectsrv (HKLM)
O15 - Trusted IP range: http://192.168.1.169
O15 - Trusted IP range: http://192.168.1.7 (HKLM)
O15 - Trusted IP range: http://192.168.1.5 (HKLM)
O15 - Trusted IP range: http://192.168.1.44 (HKLM)
O15 - Trusted IP range: http://192.168.1.169 (HKLM)
O15 - Trusted IP range: http://192.168.1.29 (HKLM)
O15 - Trusted IP range: http://128.1.2.16 (HKLM)
O15 - Trusted IP range: http://128.1.40.230 (HKLM)
O15 - Trusted IP range: http://192.168.1.39 (HKLM)
O15 - Trusted IP range: http://213.80.138.70 (HKLM)
O15 - Trusted IP range: http://192.168.1.6 (HKLM)
O15 - Trusted IP range: http://192.168.1.2 (HKLM)
O15 - Trusted IP range: http://192.168.1.51 (HKLM)
O15 - Trusted IP range: http://192.168.1.39 (HKLM)
O15 - Trusted IP range: http://192.168.1.3 (HKLM)
O15 - Trusted IP range: http://192.168.1.4 (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lan.astragsm.ru
O17 - HKLM\Software\..\Telephony: DomainName = lan.astragsm.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B41FBA1-DAC8-4685-A019-BE58B0040507}: NameServer = 192.168.1.18,192.168.1.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DFD8E23-FA41-40E9-8129-852CD011E231}: NameServer = 213.80.172.9
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lan.astragsm.ru
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lan.astragsm.ru[/code]
Снес антивирус, выслал карантин.
Тогда ещё можно пройтись чистилкой родной с сайта симантека, и новые логи.
Ответ по поводу IP, и доверенной зоны -сами делали или как ?
Нет не сам делал, комп прописан в домене, вероятно от туда ноги растут?!
Повторил логи
в логах ничего подозрительного ...
А в карантине? Спасибо за помощь.
в карантине тоже ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]