Printable View
стало приходить одно и то-же сообщение от разных людей в с контакт листа (которые территориально расположены совсем в разных местах). Сначала думал, что просто спам, но потом смснул другу (при получении спам-сообщения) "у тя аську украли?" . Он сразу зашел - говорит даже никого не выбил. В общем есть подозрение, что что-то крутится у меня на компе. АВЗ выдал кучу красного, и в процессах висит подозрительно много svchost.exe
Выполните скрипт в AVZ
[code]begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Больше плохого не видно
Скрипт выполнил, комп перегрузился.
Делаю поиск в AVZ - смущают след пункты:
1.1 Поиск перехватчиков API, работающих в UserMode[COLOR=Red]
[I]Функция advapi32.dll:AddMandatoryAce (1029) перехвачена, метод ProcAddressHijack.GetProcAddress ->777424B5->75B3193A[/I][/COLOR] (много подобных строчек)
Далее :
Анализ netapi32.dll, таблица экспорта найдена в секции .text
[COLOR=Red][I]Функция netapi32.dll:DavAddConnection (1) перехвачена, метод ProcAddressHijack.GetProcAddress ->74153B10->6BBE29DD[/I][/COLOR] (очень много подобного)
Далее:
1.5 Проверка обработчиков IRP
[I][COLOR=Red]\FileSystem\ntfs[IRP_MJ_CREATE] = 8517E1F8 -> перехватчик не определен[/COLOR][/I]
При окончании проверки выдается сообщение о ошибке доступа к ячейке памяти :? (мб это из-за windows7?)
Так-же в процессах висит 12 svchost.exe. :O
Собрать повторные логи, или все в норме ? :>
Большое спасибо
Для Windows 7+NOD32+Deamon Tools это нормально.
Вот [url=http://virusinfo.info/showthread.php?t=27923]Бонжура[/url] я бы удалил.
[QUOTE=pig;533314]Для Windows 7+NOD32+Deamon Tools это нормально.
Вот [URL="http://virusinfo.info/showthread.php?t=27923"]Бонжура[/URL] я бы удалил.[/QUOTE]
спс, прибил 8)