Подозрение на руткит в kernel32.dll

Printable View

25.05.2007, 10:04
mr.Scamp

Вложений: 1

Подозрение на руткит в kernel32.dll

Скажите, не опасно ли это, и как можно излечить kernel32.dll, ntdll.dll и advapi32.dll.
25.05.2007, 10:12
Макcим

[URL="http://virusinfo.info/showthread.php?t=1235"]Прочитать и выполнить[/URL]
25.05.2007, 13:13
mr.Scamp

Спасибо, уже излечил.
25.05.2007, 13:16
Bratez

Да не за что, пожалуйста, заходите к нам есчё ;)
25.05.2007, 21:17
mr.Scamp

Вложений: 3

Увы, мне только показалось, что проблема решена.
AVZ исправлял её только до перезагрузки, при следующей загрузке системы обнаруживались те же руткиты.
Вот логи HijackThis и AVZ.
25.05.2007, 21:30
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\\setup50.exe','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\CTPID.ocx','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\ZIntro.ocx','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\CTSUEng.ocx','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Руткитов нет, но зато похоже есть кое-что другое...
26.05.2007, 10:21
mr.Scamp

Файл закачал, но у меня есть мнение, что это огрызки от Creative Software Update, что-то из MSN Game Zone. Лишь только этот драйвер не внушает доверия..
26.05.2007, 16:04
Bratez

По сообщению от ЛК, ничего вредоносного в карантине нет.
26.05.2007, 17:36
Макcим

Значит всё чисто. Руткитов нет.
26.05.2007, 21:33
mr.Scamp

Спасибо :)
Значит, ложное срабатывание.
26.05.2007, 21:42
Макcим

[QUOTE]Значит, ложное срабатывание.[/QUOTE]Нет ложного срабатывания. Вы путаете легитимные перехваты со злобными руткитами :)

Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!
22.02.2009, 01:51
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\svchost\\svchost\\svchost.exe - [B]Trojan-Spy.Win32.Delf.x[/B] (DrWEB: BackDoor.Indy.14)[/LIST][/LIST]