Замечаю постоянно какие-то скрытые процессы, которые ссылаются на диск С в папку windows/temp
Printable View
Замечаю постоянно какие-то скрытые процессы, которые ссылаются на диск С в папку windows/temp
Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
QuarantineFile('ACDV.dll','');
QuarantineFile('C:\WINDOWS\Temp\RarSFX0\69wp3.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Получившийся карантин пришлите по правилам. Посмотрим, что это за объекты.
Корректно ли указаны сервера DNS - 172.16.3.1 192.168.117.250 ?
Выслал карантин. Все свои проблемы связываю с программой VKLife, не надо было её устанавливать, именно при её запуске наблюдаются скрытые процессы
Запустите тогда эту программу, откройте в AVZ Сервис - Диспетчер процессов, посмотрите список на предмет скрытых процессов (выделенных красным цветом). Если таковые обнаружатся, выделите их в списке и нажмите кнопку "Копировать в карантин". В случае успешного карантина загрузите его по той же ссылке.
Из предыдущего скрипта в карантин попал только linkdel.cmd, сейчас буду его смотреть.
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
На вид ничего ужасающего. Вам вообще файл этот (C:\WINDOWS\system32\linkdel.cmd) знаком?
Вот, что заметил:
Ошибка карантина файла, попытка прямого чтения (\Device\HarddiskVolume1\WINDOWS\Temp\RarSFX0\69wp3.exe
В карантин 69wp3.exe не добавляется
linkdel.cmd это наверно пересборщик меню
Значит, имя у него постоянное. Это хорошо.
Выполните скрипт в AVZ, когда программа VKLife запущена:
[CODE]begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\Temp\RarSFX0\69wp3.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится. Посмотрите, попадет ли что-нибудь в карантин.
Интересная штука. При запуске утилиты веба появляется доверенный процесс a35nrxp.exe , который после закрытия утилиты веба становится скрытым и ссылается на C:\WINDOWS\TEMP\RarSFX0\a35nrXP.exe
В карантин не добавляется. В диспетчере процессов в графе маскировка: да, FU от KernelMode Rootkit
поиск ключей, содержащих образец "a35nrxp.exe"
-- Поиск в HKEY_LOCAL_MACHINE --
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdi1mty0\QrFile1 = \??\C:\WINDOWS\TEMP\RarSFX0\a35nrXP.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdi1mty0\QrFile2 = \??\C:\WINDOWS\TEMP\RarSFX0\a35nrXP.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vdi1mty0\QrFile1 = \??\C:\WINDOWS\TEMP\RarSFX0\a35nrXP.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vdi1mty0\QrFile2 = \??\C:\WINDOWS\TEMP\RarSFX0\a35nrXP.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdi1mty0\QrFile1 = \??\C:\WINDOWS\TEMP\RarSFX0\a35nrXP.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdi1mty0\QrFile2 = \??\C:\WINDOWS\TEMP\RarSFX0\a35nrXP.exe
-- Поиск в HKEY_CURRENT_USER --
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\TEMP\RarSFX0\a35nrXP.exe =
-- Поиск в HKEY_CLASSES_ROOT --
-- Поиск в HKEY_USERS --
HKEY_USERS\S-1-5-21-1645522239-682003330-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\TEMP\RarSFX0\a35nrXP.exe =
Всё нормально, CureIt прячется от зловредов.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]