Новый червь с руткитом? (заявка №29423)
Пользователь обратился [URL=http://virusinfo.info/911test]в сервис 911[/URL], указав на следующие проблемы в работе его компьютера:
Компьютер не может получить доступ к сетевым ресурсам и к любым сайтам в интернете. При этом и то, и то прекрасно пингуется как по IP, так и по символьным именам. В "безопасном режиме с поддержкой сети" доступ в сеть и Интернет прекрасно работает. Пользователь работал с административными правами.
AVZ находит перехват кучи функций в "KiST". Иногда у AVZ получается восстановить перехваченную неизвестным модулем функцию NtConnectionPort (1F), после чего все перехваты исчезают до следующей перезагрузки. Также AVZ восстанавливает (делает Disabled) CmpCallCallBack для процессора 2 в секции "IDT и SysEnter".
На другом компьютере с аналогичной проблемой удалось установить демо-версию KIS 2011. Он сообщает что: "IOAllocateIrp (804EAFBD) модификация машинного кода, метод не определен, внедрение с байта 15".
При логине в соседние пользовательские профили может выскакивать сообщение "Ошибка при инициализации приложения 0xc0000017" и система дальше не загружается. Иногда бывают BSODы.
Дата обращения: 10.09.2010 13:41:03
Номер заявки: [URL=http://virusinfo.info/911test/?action=case_show_directions&case_id=29423]29423[/URL]
not-a-virus:RemoteAdmin.Win32.RAdmin.20
[B]10.09.2010 15:50:13[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]C:\WINDOWS\system32\admdll.dll[/B] - [URL=http://www.securelist.com/ru/find?words=not-a-virus:RemoteAdmin.Win32.RAdmin.20]not-a-virus:RemoteAdmin.Win32.RAdmin.20[/URL]
[LIST][*] размер: 90112 байт[*] дата файла: 05.12.2001 12:27:56[*] детект других антивирусов: DrWEB 5.0: Зловред Program.RemoteAdmin.21[/LIST][/LIST]
