Подозрение на RootKit

Printable View

27.12.2009, 20:38
Keit_Keit

Подозрение на RootKit

При проверке утилитой AVZ было восстановлено 13 функций KiST в ходе работы антируткита, но при повторной проверке выдаётся тот же результат, т.е. проблема не устраняется. Да и неуверена что других нет вирусов...
И ещё:
[SIZE="1"]"1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 0014512C
Disable callback OK"[/SIZE] - две последние строчки выделенны красным цветом, что это означает?

Вот логи
27.12.2009, 20:46
snifer67

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('c:\windows\br040286.exe','');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
27.12.2009, 22:10
Keit_Keit

snifer67 у меня там всё плохо? или я что-то не так сделала?
27.12.2009, 23:25
thyrex

[QUOTE='Keit_Keit;547002']у меня там всё плохо? или я что-то не так сделала?[/QUOTE]Файл в карантинне чистый. Больше проблем нет?
28.12.2009, 00:08
Keit_Keit

Могу прислать ещё раз логи ??

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

У меня возникли ещё вопросы, если не трудно, подскажите пожалйста. В протоколе есть такая запись:

"1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A61C1F8 -> перехватчик не определен
\Fi.... и т.д." - что это такое?

и

>>Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

как можно и нужно ли в обяз. порядке изменять данные параметры?
01.01.2010, 12:44
AndreyKa

[QUOTE='Keit_Keit;547084']"1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A61C1F8 -> перехватчик не определен
\Fi.... и т.д." - что это такое? [/QUOTE]
"DAEMON Tools"
[QUOTE='Keit_Keit;547084']>>Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...
как можно и нужно ли в обяз. порядке изменять данные параметры?
[/QUOTE]Не обязательно.
02.01.2010, 12:44
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]