Подозрение на скрытую загрузку библиотек через AppInit_DLLs
Не знаю что делать? Помогите, пожалуйста, разобраться.
Printable View
Подозрение на скрытую загрузку библиотек через AppInit_DLLs
Не знаю что делать? Помогите, пожалуйста, разобраться.
Выполните [url]http://virusinfo.info/pravila.html[/url]
Сделала диагностику
[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O13 - Gopher Prefix:
O20 - AppInit_DLLs: ,
[/CODE]
- Сделайте повторный лог [COLOR="Blue"] hijackthis.log[/COLOR]
Сделано.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O13 - Gopher Prefix:
O20 - AppInit_DLLs: ,
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('FXDrv32');
DeleteFile('E:\FXDrv32.sys');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
Сделано.
Поиск маскировки процессов и драйверов
Маскировка процесса с PID=456, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 456)
Маскировка процесса с PID=508, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 508)
Маскировка процесса с PID=556, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 556)
Маскировка процесса с PID=956, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 956)
Маскировка процесса с PID=1640, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1640)
Маскировка процесса с PID=1824, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1824)
Маскировка процесса с PID=1852, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1852)
Маскировка процесса с PID=1868, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1868)
Маскировка процесса с PID=1908, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1908)
Маскировка процесса с PID=1104, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1104)
Маскировка процесса с PID=2252, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2252)
Маскировка процесса с PID=2948, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2948)
Маскировка процесса с PID=3412, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3412)
Маскировка процесса с PID=3488, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3488)
Маскировка процесса с PID=756, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 756)
Маскировка процесса с PID=848, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 848)
Маскировка процесса с PID=3500, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3500)
Маскировка процесса с PID=2336, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2336)
Маскировка процесса с PID=3088, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3088)
Маскировка процесса с PID=3856, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3856)
Маскировка процесса с PID=984, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 984)
Маскировка процесса с PID=720, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 720)
Маскировка процесса с PID=1636, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1636)
Маскировка процесса с PID=2372, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2372)
Маскировка процесса с PID=3108, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3108)
Маскировка процесса с PID=2724, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2724)
Маскировка процесса с PID=2220, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2220)
Поиск маскировки процессов и драйверов завершен
-------------------------------------------------------------------------------
Как с этим быть?
В маскировках на Vista ничего необычного
Забавные животные на Рабочем столе - сами устанавливали?
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Забавных животных сама установила.
Попробую сделать предложенное.
просканировала, нашлось 5 инфицированных объектов.
- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
Заражённые файлы:
c:\Windows\System32\config\svchost.exe (Trojan.StartPage) -> No action taken.
[/CODE]
Удалила.