Подозрение на руткиты после обнаружения AVZ. Прошу помочь разобраться..
Подозрение на руткиты после обнаружения AVZ. Прошу помочь разобраться..
Уважаемый(ая) [B]romix[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Подозрение на руткит (согласно результатам сканирования AVZ). Прошу помочь разобраться.
[NOTICE]Не переименовывайте имена логов, пожалуйста[/NOTICE]
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\ROMAN\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
DeleteFile('C:\Users\ROMAN\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Запрошенные файлы отчетов прилагаю.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Карантин AVZ отправил по форме на сайте.
Лог МВАМ прислали неверный
Лог MBAM прилагаю
Этот лог ничем не лучше прежнего.
Смотрите внимательно написанное по ссылке
Сейчас еще раз проделал все по инструкции, а именно:
-свой mbam удалил, скачал по вашей ссылке malware bytes, запустил от имени админа, отказался от пробной версии, обновил базы, после чего запустил custom scan и поставил галочку искать руткиты. Далее пошло не по инструкции - когда он закончил проверять - он выдал везде "0" то есть ничего не обнаружил и далее появилась напдпись что-вроде view details, после нажатия на нее появилось меню "export" а не "export log".
После этого он предложил сохранить в txt или xml. Я выбрал txt, но название файла он не выдает, только пустое поле и я сам назвал его mbam от 27.01.2015 (то есть сегодня). Прилагаю новый лог.
Возможно если бы он что-то обнаружил он бы выдал сразу надпись после проверки "export log" и сам дал название файла, как это указано на скриншоте в инструкции, но у меня только так, без вариантов. Если неправ, поправьте, пожалуйста.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
По запросу вышлю скриншот окончания проверки MBAM.
Лог в порядке. Нет у Вас вирусов
А не подскажите, что означает надпись "Функция ntdll.dll:NtWriteVirtualMemory (599) перехвачена, метод APICodeHijack.JmpTo[74D10FF6]" ? И каждый раз при запуске АВЗ он находит эту функцию и устраняет.
Безопасные перехваты от защитного ПО
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]