Printable View
Доброе время суток!
Наблюдаются интересные руткиты User-Mode. Т.е. в Kernel-Mode перехваты тоже есть, но я знаю, кто их перехватил и вполне им верю.
Вирусов нет - проверено DrWeb перед сносом оного, и NOD32 со свежими базами.
Поведение руткитов тоже выявить не могу, лишней сетевой активности нет, ZoneAlarm спокоен.
Требуемые логи прилагаю.
ЗЫ: Я уже голову сломал, пытаясь определить, что это. Скоро систему в виртуалку клонирую и за SoftIce возьмусь! :)
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Downloaded Program Files\AxisCamControl.ocx','');
QuarantineFile('C:\Program Files\Bug Doctor\BugDoctor.exe','');
QuarantineFile('LEXLMPM.DLL','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Start Menu\Programs\Startup\NetCologne.lnk','');
QuarantineFile('\SystemRoot\System32\Drivers\Av630cn.SYS','');
QuarantineFile('\SystemRoot\System32\Drivers\Av630bn.SYS','');
QuarantineFile('\SystemRoot\System32\Drivers\Av630an.SYS','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки [URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis [CODE]O2 - BHO: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\[/CODE]
Пришлите файлы карантина по правилам раздела "Помогите". Настройки прокси-сервера сами прописывали?
Спасибо, сейчас сделаю.
А здесь, собственно, вообще прокси не используются...
Скрипт выполнил, файлы карантина залил; правда, пароль на архив не поставил.
[QUOTE]правда, пароль на архив не поставил[/QUOTE]А вот это зря... Правила писали не дураки.
[quote=MaXim;110897]А вот это зря... Правила писали не дураки.[/quote]
Сорри!.. Я только потом увидел, что надо пароль ставить. :embarasse
[quote=Blasphemie;110898]Сорри!.. Я только потом увидел, что надо пароль ставить. :embarasse[/quote]
По правилам автоматом пароль ставиться , главное выполнять точно.
Архив действительно без пароля :(
Я успокаиваю себя тем, что там вирусов ТОЧНО нет.
Огрызки драйвера от AverMedia, ЕМНИП; линк на RASовое соединение и еще что-то, уже не помню: машина не моя и я от нее ушел.
Но в следующий раз буду внимательнее, обещаю!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]