похоже руткит

Printable View

08.01.2007, 23:11
noname

Вложений: 3

похоже руткит

Здраствуйте, похоже мой компьютер заражен неизвестным руткитом: в логах заметен процесс подменяющий имя и показывающий баннеры при входе в интернет. Меня беспокоит вот эта строчка в логах:
[B][B]
Видимый процесс с PID=224, имя = "\Device\HarddiskVolume1\PROGRA~1\INTERN~1\iexplore.exe"
>> обнаружена подмена имени, новое имя = "c:\program files\internet explorer\iexplore.exe"[/B][/B]Так же процесс периодически пытается скачивать Dialer'ы из интернета, которы засекает DrWeb, но не находит руткит.
P.S. при загрузке в безопасном режиме процесс не запускается и АВЗ ничего не находит.

Прикладываю логи:
08.01.2007, 23:33
AndreyKa

SoftIce на компьютере установлен?

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\pasha\applic~1\option~1\eggs surf dumb.exe','');
QuarantineFile('C:\DOCUME~1\pasha\APPLIC~1\OPTION~1\Inside bike.exe','');
QuarantineFile('C:\WINDOWS\system32\winjrs32.dll','');
QuarantineFile('C:\PROGRA~1\DOWNLO~1\dmiehlp.dll','');
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите то, что попадет в карантин.
ссылка на Вашу тему [url]http://virusinfo.info/showthread.php?t=4711[/url]
08.01.2007, 23:52
noname

[quote=AndreyKa;90296]SoftIce на компьютере установлен?

[/quote]
Да, SoftICE установлен.

P.S: После выполнения скрипта я все равно продолжаю получать такие сообщения: [IMG]http://img470.imageshack.us/img470/5489/drwebjp6.png[/IMG]
08.01.2007, 23:54
Shu_b

Файлы из карантина надо отправлять в соответствии с приложением 2 правил (с 5го пункта)
11.01.2007, 08:41
Shu_b

Если ещё актуально...
В присланном:
C:\WINDOWS\system32\winjrs32.dll - Trojan.Mezzia
c:\docume~1\pasha\applic~1\option~1\eggs surf dumb.exe - Adware.Irjit
C:\DOCUME~1\pasha\APPLIC~1\OPTION~1\Inside bike.exe - Adware.Irjit
11.01.2007, 13:08
pig

Стало быть: AVZ - Файл - Выполнить скрипт:
[code]begin
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\winjrs32.dll');
DeleteFile('c:\docume~1\pasha\applic~1\option~1\eggs surf dumb.exe');
DeleteFile('C:\DOCUME~1\pasha\APPLIC~1\OPTION~1\Inside bike.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
И делайте новые логи.
22.02.2009, 01:33
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\pasha\\applic~1\\option~1\\eggs surf dumb.exe - [B]Trojan-Downloader.Win32.Swizzor.ej[/B] (DrWEB: Trojan.Packed.149)[*] c:\\docume~1\\pasha\\applic~1\\option~1\\inside bike.exe - [B]Trojan.Win32.Obfuscated.en[/B] (DrWEB: Trojan.Packed.149)[*] c:\\windows\\system32\\winjrs32.dll - [B]Trojan.Win32.Dialer.qn[/B] (DrWEB: Trojan.Mezzia)[/LIST][/LIST]