Подозрение на руткит

Printable View

22.06.2010, 14:21
sazmir

Подозрение на руткит

KIS с актуальными базами не находит ничего подозрительного.
DrWeb cureIT, в безопасном режиме, обнаружил:
java.downloader.15
exploit.java.26
exploit.java.30
exploit.java.31
exploit.java.33
exploit.java.23
exploit.java.51
Непонятно, связаны ли они с руткитом. Но после удаления признаки заражения остались.
При попытке выключения через "пуск" пишет: "Для выключения или перезагрузки компьютера у вас недостаточно полномочий".
Не открываются страницы в Опере, ИЕ и фаерфоксе. Только в Хроме.
Не удалось обновить базы AVZ.
AVZ обнаруживает множественные перехватчики.
22.06.2010, 15:17
DefesT

[QUOTE]Внимание !!! База поcледний раз обновлялась 16.04.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.30
[/QUOTE]
Скачайте актуальную версию AVZ, обновите базы и переделайте логи. Перед этим закрывайте не штатные программы (Skype, WebMoneyAgent и т.п.)
22.06.2010, 16:40
sazmir

Обновил вложения

Обновил AVZ. Поубивал лишние процессы, обновил отчеты AVZ и HijackThis
23.06.2010, 16:36
sazmir

Обновил

Вот еще раз логи, эти делал немножко по другому, может, по ним ситуация понятнее.
24.06.2010, 11:03
Alex_Goodwin

Сделайте лог Гмер.
24.06.2010, 11:14
sazmir

Э... лог чего?

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Нашел, делаю. Нужен скан всех дисков? Их много...
24.06.2010, 14:39
Alex_Goodwin

[url]http://virusinfo.info/showthread.php?t=40118[/url]

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

1. Пофиксить:
[CODE] R3 - URLSearchHook: (no name) - {63432924-FF0F-4F2D-BA15-FE46454977A3} - (no file)[/CODE]
2. Перенесите проводник в доверенные в Касперском.
Windows - сборка?
24.06.2010, 22:08
sazmir

Пофиксил.
Проводник в доверенные добавил, там 4 галочки, поставил только: "Не контролировать активность программы".
Винда, вроде, обычная. Но стоит давно и изменений много (AVZ больше всего TangoPatcher не нравится. Сейчас удалю, какие смогу, пересканирую.
Гмер виснет, или о-очень медленно работает.
25.06.2010, 16:20
AndreyKa

Обновите базы AVZ.
Проведите процедуру, описанную в первом сообщении тут: [url]http://virusinfo.info/showthread.php?t=3519[/url]
26.06.2010, 13:49
sazmir

Файл сохранён как 100626_134703_virusinfo_files_ARGUS13_4c25cc976ddb4.zip
Размер файла 64271845
MD5 5a6ed8c8e6c597c68d09b7b79ab08fb4
26.06.2010, 14:17
AndreyKa

Результаты обработки [QUOTE='CyberHelper;661013']
Архив 100626_134703_virusinfo_files_ARGUS13_4c25cc976ddb 4.zip, загружен 26.06.2010 14:00:30, размер 64271845 байт
Всего файлов: 175 (исполняемых 174), из них:
зловреды или опасные объекты: 0
подозрительные: 0[/QUOTE]
26.06.2010, 14:44
sazmir

Угу, я поставил рядом второй виндовс, проверил из него несколькими антивирусами, активных заражений, похоже, не осталось. Тему можно закрывать.