Printable View
AVZ сообщает о перехватчиках уровня ядра.(Тоже самое происходит на другой машине, находящейся в другом месте).
После перезагрузки ничего не меняется-выдает теже сообщения.
Иногда, даже на неподключ. к сетевой карте кабелю комп начинает грузить подозр процессы и возн. ощущение, что управляется извне.
При этом есть данные об утечке информации.
Просьба помочь.
Отключить антивирус, файрвол, интернет
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\system32\hidec','');
QuarantineFile('spmc.sys','');
QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\spmc.sys','');
QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS.0\0\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS.0\0\system32\ntdll.dll','');
QuarantineFile('C:\WINDOWS.0\0\system32\hal.dll','');
QuarantineFile('C:\WINDOWS.0\0\system32\BOOTVID.dll','');
QuarantineFile('C:\WINDOWS.0\system32\COMRes.dll','');
QuarantineFile('c:\windows.0\explorer.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17078[/url]
P.S. По моему у вас дуэт из хорошего и плохого перехватчика, присылайте карантин, будем лечить :girl_hospital:
[/QUOTE]Прислать карантин согласно приложения 3 правил .
[/QUOTE]
Выслал
[/QUOTE]P.S. По моему у вас дуэт из хорошего и плохого перехватчика, присылайте карантин, будем лечить :girl_hospital:[/QUOTE]
Похоже надо было давно к вам обратиться :O
Все антивирусы\антишпионы утверждали что все чисто ;)
[size="1"][color="#666686"][B][I]Добавлено через 29 минут[/I][/B][/color][/size]
Следует ли повторить отправку карантина т.к. я не процитировал данные сформированного по ссылке для отправки файла?
Архив получили, однако не всё что хотели. Случай интересный :)
Поищите пока spmc.sys по второму пункту правил, я бы ещё посоветовал если есть под рукой конечно какой-нибудь liveCD , загрузившись с неё поискать этот файл и нам обязательно прислать.( с паролем [b]virus[/b] в зипе как полагается )
[QUOTE=drongo;179085]Архив получили, однако не всё что хотели. Случай интересный :)
Поищите пока spmc.sys по второму пункту правил, я бы ещё посоветовал если есть под рукой конечно какой-нибудь liveCD , загрузившись с неё поискать этот файл и нам обязательно прислать.( с паролем [b]virus[/b] в зипе как полагается )[/QUOTE]
C помощью утилиты AVZ этот файл не обнаруживается, а загрузочного диска под рукой, к сожалению, нет. Я попробую найти диск и поищу утилитами какими нибудь...
Чем грозит этот "интересный случай"? :(
У вас Алкоголь или Daemon Tools раньше не стояли?
[QUOTE=pig;179130]У вас Алкоголь или Daemon Tools раньше не стояли?[/QUOTE]
На этой машине (ноутбук) я недели две назад переустанавил windows - форматировал в NTFS. Вышеуказанный софт не устанавливал. До этого тоже не было, но т.к. не я пользовался, то не уверен насчет было ли когда либо...
На домашнем компе пользовался и тем и другим...
[QUOTE=drongo;179085]Архив получили, однако не всё что хотели. Случай интересный :)
Поищите пока spmc.sys по второму пункту правил, я бы ещё посоветовал если есть под рукой конечно какой-нибудь liveCD , загрузившись с неё поискать этот файл и нам обязательно прислать.( с паролем [b]virus[/b] в зипе как полагается )[/QUOTE]
Грузился с реаним. СD - поиски не увенчались успехом...
в архиве 080128_104140_1_479e05c45dc68.zip все что было найдено по маске похожего (все были в папке sistem32 и system32\PreInstall).
Если его надо и без него никак, то подскажите как и где его выковыривать...
Не думаю что мы его найдём, он самоликвидируется после загрузки :)
Скорее всего это новый файл от новенькой версии алкоголя.
Во общем ради эксперимента удалите все эмуляторы дисков и сделайте новые логи.
[QUOTE=drongo;179472]Не думаю что мы его найдём, он самоликвидируется после загрузки :)
Скорее всего это новый файл от новенькой версии алкоголя.
Во общем ради эксперимента удалите все эмуляторы дисков и сделайте новые логи.[/QUOTE]
Перечитав правила сделал новые логи...
Вот родитель:
[quote]Прямое чтение C:\WINDOWS.0\system32\drivers\sptd.sys[/quote]
И его детёныш:
[quote]spla.sys Подозрение на RootKit Перехватчик KernelMode[/quote]
Причём сам родитель причислен к лику безопасных.
[QUOTE=pig;179610]Вот родитель:
И его детёныш:
Причём сам родитель причислен к лику безопасных.[/QUOTE]
Что мне с этой популяцией делать? :)
Они безвредны, почти.. как дети.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]31[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]