Добрый день,
появились подозрения на заражение, т.к. очень возрос входящий и исходящий трафик. DrWeb - CureIT обнаружила Backdoor.Bulknet и Trojan.NtRootKit.248 которые всякий раз детектируются после перезагрузки системы (при отключенном восстановлении системы). При запуске AVZ комп выдает системную ошибку и перегружается (при этом на синем экране идут какие-то претензии к памяти, что-то про fastflat.sys или похожее - очень быстро не успеаю заметить точно)
Соответственно логи AVZ предоставить не могу. Только HiJackThis.
Очень надеюсь на Вашу помощь!
Последний раз редактировалось Gray; 03.06.2007 в 15:04.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Честно говоря не слишком понял, что нужно сделать по приведенному алгоритму. Тем не менее в безопасном режиме AVZ по запрашиваемым скриптам выполнить удалось. Однако логи не создались почему-то. Все, что появилось в папке LOG прилагаю.
Последний раз редактировалось Gray; 03.06.2007 в 15:04.
Сделайте так:
В нормальном режиме в AVZ - Файл - Стандартные скрипты - отметить #1 - Выполнить, затем Файл - Исследование системы - Пуск, протокол сохранить, сархивировать и прикрепить сюда.
Если в нормальном AVZ вообще не работает, то сделайте это в безопасном, только переключите в Исследовании "Только активные службы и драйверы" на "Все службы и драйверы".
2 Bratez
Попытался сделать, как Вы предлагали - в нормальном режиме AVZ дает системную ошибку при сканировании в любом виде (как по стандартным скриптам, так и просто после пуска).
В защищенном режиме: скрипт #1 выполнился - лог прилагаю.
При выполнении Исследования - также выдает ошибку и переходит на синий экран надписью, что система была остановлена в виду серьезной системной ошибки бла-бла-бла.
2 MaXim
Дампы, образующиеся при вылете из системы - архиве.
Последний раз редактировалось Gray; 03.06.2007 в 15:05.
Попробуем так:
1. В AVZ выберите в меню AVZPM - Установить драйвер расширенного мониторинга процессов. Перезагрузиться.
2. В безопасном режиме запустить AVZ, на вкладке "Параметры поиска" поставить галки на "Блокировать работу Rootkit User mode" и ".... Kernel mode", нажать Пуск.
Если отработает - протокол прикрепите сюда.
2 PavelA
Лог AVZ- "пуск" из режима Safe прилагаю
2 Bratez
Заметил, что в обычном режиме, а также в защищенном при "Исследовании системы" эта самая системная ошибка и выброз из винда происходит как раз во время сканирования Kernel Mode.
Сейчас попробую сделать по Вашему алгоритму, если получится.
DrWeb-CureIT находит Trojan.NtRootKit.248 в файле ksys.sys директории system32
Поищите через AVZ файл:
C:\WINDOWS\system32\svchоst.exe
имя не вводите вручную, а скопируйте из этого сообщения!
Добавьте в карантин и пришлите как указно в приложении 2 правил.
При попытке добавить в карантин "по списку" выдает ошибку:
Ошибка карантина файла "C:\WINDOWS\system32\svchоst.exe", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: