подмена диспетчера задач

Printable View

28.03.2011, 17:11
Spinosa

подмена диспетчера задач

Здравствуйте, изначально проблема была в том, что на компьютере аутпост фаервол постоянно выдавал сообщения что процесс типа ggdrive32.exe, 44.exe, 01.exe и т.п. пытается получить доступ в сеть, изменить память приложения (др.веба, эксплорера и т.п.), при блокировке эти все процессы затихали на время, но потом вылазили вновь.
Прочитав правила вашего раздела, сделали полную проверку компьютера с помощью др.веба, который установлен в системе, потом в безопасном режиме проверили virus removal tool, который удалил кучу троянов включая вот этот ггдрайв32.экзе и цифровые процессы, сканировали несколько раз.
При загрузке в нормальный режим аутпост постоянно спрашивает разрешить ли процессу svchost.exe доступ к айпи адресу типа 172.24.6.63, при "блокировать однократно" вылазит вновь и вновь.
Провели проверку компьютера с помощью avz и hijackthis по вашей инструкции. В логах написано что диспетчер задач подменен. Удалили файлы на которые ссылались эти логи, сделали повторную проверку, логи все равно говорят что диспетчер задач изменен.
Собственно вопрос, посмотрите пожалуйста наши логи, вроде бы никаких сообщений аутпоста уже не появляется, но слова про измененый диспетчер задач не дают спокойно жить :)

Заранее большое спасибо.
28.03.2011, 17:22
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
28.03.2011, 17:45
Spinosa

В карантине пусто, но логи все равно говорят что диспетчер подменен :(
28.03.2011, 17:52
V_Bond

ужас
>>> Обратите внимание - нестандартный диспетчер задач "TASKMAN.EXE"
это же ваше ...
28.03.2011, 17:54
Spinosa

ммм... и что с этим делать? ) Тот карантин, который вы сказали сделать с файлом c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe пустой.
Я его открываю следуя пункту приложения №3 правил, и у меня нет файлов чтобы выбирать для отправки.
28.03.2011, 17:55
V_Bond

ничего не делать ... в логах чисто
28.03.2011, 17:56
Spinosa

Спасибо. Успокоили :)
29.03.2011, 02:10
thyrex

Выполните скрипт в AVZ
[code]begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.