Доброго времени суток. Постоянно идет обмен трафиком, KAV 7 ничего не нашел, CureIt тоже, устанавливал Outpost, он показывает обмен трафиком, но в сетевой активности процессов нет :( Очень надеюсь на Вашу помошь. Спасибо
Printable View
Доброго времени суток. Постоянно идет обмен трафиком, KAV 7 ничего не нашел, CureIt тоже, устанавливал Outpost, он показывает обмен трафиком, но в сетевой активности процессов нет :( Очень надеюсь на Вашу помошь. Спасибо
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Ckyn77.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\Ckyn77.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Ckyn77');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=26409[/url] ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Карантин выслал, логи сделал
Сейчас все вроде в норме, а что в логах? вредителей больше нет?
Зловред удален.
Вот это Вам знакомо?:
[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{4B2B3067-DC7B-47CD-AF4E-0EF46F5530BB}: NameServer = 84.53.200.24,84.53.199.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B2B3067-DC7B-47CD-AF4E-0EF46F5530BB}: NameServer = 84.53.200.24,84.53.199.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{4B2B3067-DC7B-47CD-AF4E-0EF46F5530BB}: NameServer = 84.53.200.24,84.53.199.254[/code]
Если незнакомо, то [url=http://virusinfo.info/showthread.php?t=4491]пофиксите в HijackThis[/url] эти строчки.
В остальном чисто. Какие-то проблемы остались?
Это очень даже знакомо :) DNS-серверы провайдера (прописаны руками)
Вот теперь такая штука происходит: при запуске Касперский пишет, что Перехвачена попытка создания значения в ключе системного реестра, который входит в группу System Security.
13.07.2008 14:09:19 Процесс C:\WINDOWS\System32\svchost.exe (PID: 1144): подозрительное действие. Попытка создания параметры безопасности компьютера (ключ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List, значение C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe, данные C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe:*:Disabled:Kaspersky Anti-Virus).
Подозрительно как-то выглядит?
[size="1"][color="#666686"][B][I]Добавлено через 1 час 10 минут[/I][/B][/color][/size]
Создал правило, теперь не беспокоит, спасибо огромное за помощь!
Тему можно закрывать
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\ckyn77.sys - [B]Rootkit.Win32.Qandr.fl[/B][/LIST][/LIST]