При запуске системы обнаруживается процесс svchost.exe запущеный из директории C:\WINDOWS\
Также обнаруживается соответсвующий файл C:\WINDOWS\svchost.exe и запись в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run .
Если убить процесс вручную, удалить файл и запись в реестре, после перезапуска системы все восстанавливается, т.е. файл, запись и процесс снова "на месте".
Пробовал скопировать вместо C:\WINDOWS\svchost.exe файл нулевого размера и запретить любые действия с ним через права доступа - после перезапуска файл остается нетронутым, т.е. нулевого размера, процесс не запускается, но запись в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run все равно восстанавливается.
AVZ и CureIt не помогают.
Логи прилагаются.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху страницы.
- Прикрепите логи к новому сообщению.
Последний раз редактировалось Rene-gad; 12.08.2008 в 21:05.
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
Карантин прислал.
cygrunsrv.exe - это сервис демона sshd запущеного через Cygwin, короче он вне подозрений.
Narrator.exe - я нашел только в dllcache, он не закарантинился как я понял, сделать может быть это вручную?
А о том что нужны логи после скрипта не писали. Только карантин :-D
Нужно прислать те логи которые "образовались" после запуска скрипта, или собрать по-новой?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: